当前位置:网站首页>网站被入侵新增违法快照的解决案例
网站被入侵新增违法快照的解决案例
2022-06-13 12:11:00 【技术分享达人】
2022年6月10号距离世界杯的开幕还差5个多月,许多网站以及IIS被劫持收录大量TFWC 2022年卡塔尔世界杯、体育等菠菜违规内容快照,大家也可以自行检查下自己的网站在百度权重,是否上升的很快,再一个查看关键词排名情况,如果发现都是一些体育,菠菜,QP等等的长尾关键词,那基本上就是网站被黑客入侵并篡改了代码,我们SINE安全公司近期处理了许多中小企业网站的客户,他们也都是收录的世界杯菠菜相关内容的百度快照,网站很多页面的标题、描述都被篡改,访问网站正常也察觉不出网站被攻击或者被劫持,像快照被劫持这种比较隐蔽的攻击,许多站长不容易发现,得需要专业的安全技术才能检查的出来。
那如何确定网站是否被快照劫持?SINE安全老于给大家详细的介绍一下,首先可以打开百度站长工具,看下近期的收录是否异常,像收录突然猛增,百度的蜘蛛抓取次数是否多了很多,再一个看下site:www.***.com自己的网站,看最近一个月的收录,是否收录大量的世界杯体育,菠菜、QP等恶意内容的百度快照。再一个快照劫持的特征是,直接访问网站是不会出现跳转,从百度点击进入网站,会直接跳转到违规网站上去。我们sinesafe以实际的客户案例给大家看下,像下面这种收录内容,基本上就是网站快照被劫持了,也可以说是网站被黑客攻击了。
快照劫持简单来讲,便是黑客利用网站存在的代码漏洞,去入侵网站,并上传webshell木马文件,通过脚本木马,去篡改IIS,以及数据库配置文件,植入劫持快照的恶意代码,这个恶意代码会根据访问用户的特征进行判断,当百度蜘蛛来访问网站的时候,就会将世界杯、菠菜、QP等违法不良内容展现给百度蜘蛛看,让蜘蛛去抓取这些内容,并收录到百度中,有些用户访问的时候,就会跳转到黑客推广的世界杯页面。
网站快照被劫持该怎么办?
要彻底的解决网站快照被劫持的问题,要从网站源代码入手,去检查代码是否存在漏洞,对漏洞进行修复,以及网站木马后门的检测与清除,包括网站安全一系列的安全加固。针对这种劫持问题,我们SINE安全以现实客户为解决案例,进行解说。客户网站使用的是Windows服务器,系统是2012系统,中间件是IIS 10.0版本,网站代码是aspx架构,自己单独开发的,数据库架构是sql,因为客户网站在百度权重是5,收录基本都是秒收,关键词排名也都很靠前,在被黑客篡改代码,劫持快照收录大量违规内容的当天,就找到我们SINESAFE,我们立即进行了安全应急响应,客户提供了服务器以及网站的相关信息,我们对网站的所有代码进行了人工安全审计,检查漏洞,以及存在的木马后门,对网站日志进行了详细分析,包括服务器日志,也都进行了检查,通过客户提供的攻击时间,我们溯源了整个黑客攻击路径。
首先我们人工对代码进行检查,发现了木马文件,也叫webshell后门,也可以理解为aspx脚本大马,该木马可以对网站的源代码进行修改,删除,上传等的一些操作,通过该文件的创建日期,我们查了相关的网站访问日志,发现黑客是通过上传文件代码这里,直接POST上传了后门文件,我们SINE安全对上传代码进行了人工安全审计,发现该代码存在文件上传漏洞,黑客可构造恶意参数直接绕过文件格式限制,上传了.aspx的文件。我们立即对该代码漏洞进行了修复,并对检查出来的木马后门进行了删除。又检查了其他代码,黑客留了不少后门在网站目录下,在附件目录以及CSS目录,后台目录都有发现,都一一记录下来,并强制删除。木马和漏洞都已修复,可以我们发现客户的网站快照还在继续被劫持,点击进去还是跳转到恶意网站上,我们又对服务器进行了检查,发现IIS被劫持了,我们SINE安全技术又对服务器系统进行了安全检测,发现,服务器被黑客提权增加了管理员账户,也就是说服务器也被黑客入侵了,这里简单解释一下,由于aspx权限较大,可以直接添加管理员到服务器中,黑客可以执行系统命令,正常来说,服务器的维护人员应该对aspx的权限进行限制,至给普通用户的权限去运行即可,由于安全意识薄弱导致服务器被入侵。由于黑客篡改了IIS,导致快照还在继续收录,包括跳转也还在,我们对IIS进行了检测,发现植入了恶意代码,导致整个IIS里的网站都被快照劫持,收录大量违法内容。人工对其恶意的IIS代码进行了删除,问题得以彻底的解决。随后我们对服务器进行了人工安全加固,端口安全部署,以及文件权限部署,数据库安全加固等等一系列的操作,防止黑客再次的攻击。
懂点技术的,也可以按照下面方法进行处理快照劫持的问题。
1.分析服务器日志,网站日志,以及网站收录情况是否存在异常,看下网站访问日志是否有大量百度蜘蛛爬取某些不存在的页面。
2.检查网站源代码是否被植入木马后门,可以对比之前的文件进行一一查看,尤其是检查网站的首页代码和数据库配置代码,还有JS,css代码里是否存在劫持的恶意代码。
3.通过百度站长工具,进行模拟百度蜘蛛抓取,看下网站是否抓取的内容,跟你正常浏览的内容不一样,来判断网站被劫持。
4.删除恶意的劫持蜘蛛代码,然后对网站代码漏洞进行修复以及修补,如果不懂如何修复也可以找专业的网站安全公司,也可以找我们SINE安全来进行修复和网站安全加固,彻底的解决快照被劫持的问题。
5.对服务器进行安全加固,可以看一下进程以及端口PID是否异常,检查一下对外的连接是否存在一些除了80,443等端口的IP,检查服务器的登录日志,看下是否有异常登录的IP。
6.利用站长工具,搜集一些收录菠菜内容的快照地址,并设置为404状态,提交给百度进行处理,当百度蜘蛛再次爬取的时候,就会删除这些违规内容的快照。也可以到百度站长中心反馈,或者是到百度快照更新哪里提交一下。
边栏推荐
- Based on STM32F103 - as608 fingerprint module + serial port printing
- 2022年二建《公路》科目答案已出,请收好
- 002、torchserve调用官方库模型
- [truth] the reason why big factories are not afraid to spend money is...
- The industry-leading interface component package devaxpress officially released v21.2.8 in June
- web开发视频教程,web开发教学
- TS advanced keyof
- Pulsar 消费者
- 7.5.4:Spire Office for . NET New Version
- M1 体验win11
猜你喜欢
Projet de développement web, développement d'une page Web
[tcaplusdb knowledge base] Introduction to tcaplusdb tcaplusadmin tool
【TcaplusDB知识库】TcaplusDB-tcapsvrmgr工具介绍(二)
The answer to the subject "highway" of the second construction company in 2022 has been provided. Please keep it
web開發項目,web單頁開發
The answer to the subject of "Regulations" of the second construction company in 2022 has been provided. Please keep it
Committed to R & D and manufacturing of ultra surface photonic chip products, Shanhe optoelectronics completed a round of pre-A financing of tens of millions of yuan
(small information for children to children-03) batch template production of basic information collection folder for children (including PDF, word and certificate folder)
基于STM32F103——矩阵按键+串口打印
机器学习(二)—逻辑回归理论与代码详解
随机推荐
多系统对接的适配与包装模式应用
OpenCV学习笔记(二):读取mnist数据集
Fuel scheme and product business modeling
web開發項目,web單頁開發
机器学习(二)—逻辑回归理论与代码详解
面试题 Mysql 数据库
5 locksupport and thread interruption
How camunda uses script script nodes
Tamigou equity project sharing: transfer of 1637900 shares of Beijing Huadahua New Technology Co., Ltd
The answer to the subject of "Regulations" of the second construction company in 2022 has been provided. Please keep it
书籍+视频+学习笔记+技能提升资源库,面试必问
14. Notes on using border decorator of WPF
The answer to the subject of Municipal Administration of the second construction company in 2022 has been provided. Please keep it
【TcaplusDB知识库】TcaplusDB-tcapsvrmgr工具介绍(二)
北京市场监管局启动9类重点产品质量专项整治工作
Kubernetes deploying ActiveMQ
Review guide for students
The industry-leading interface component package devaxpress officially released v21.2.8 in June
Composition of pulsar messages
Industry development and research status based on 3D GIS technology