蓝蚂蚁工作室:wordpress建站,二次开发,主题修改,仿站等网站地图 | 联系我们

蓝蚂蚁工作室

高性能云服务器就选阿里云
当前位置: 首页 > 技术交流 > 域名主机 > 记一次网站被挂马快速排查事件

客服反应有个客户的网站在百度搜索里面带有非法信息。 简单了解了下,是一个老客户的aspx系统的网站,当时客户是找人外包制作的,只是托管在我们服务器上的,这个系统因为比较老了,所以漏洞比较多,而且没有源代码,所以发现漏洞也补不了。

简单检查后发现首页被加了段加密的代码,大致的功能是从百度访问就显示非法的标题和描述,并跳到非法页面。还是老操作先恢复网页,然后逐个目录检查了下,发现了几个隐藏的很好的一句话webshell,也逐一清除掉后,就让客服去百度提交申诉恢复网站了。

本来以为事情到这里就结束了,但是第二天,客服收到百度的邮件说是申诉不通过,页面上有非法信息。所以又再次打开了网站,发现只有首页被修改了,查了下服务器快照脚本,发现该网站目录下面并没有新的webshell生成,也没有其他文件被修改。 查了下iis日志,该网站的日志竟然都是正常的get和蜘蛛访问,这下郁闷了,竟然不是通过webshell来修改的,查了下服务器也没发现异常进程,扫毒也没结果。

只好设置process monitor监测和记录这个文件访问和修改情况,找找看是被哪个进程修改的。 到了下午的时候,这个网站又被改掉了,结合process monitor的日志,发现只有ftp服务器有访问和修改这个文件。

查看了下filezilla的日志,果然有10:46分的登录日志,一查对方竟然在filezilla中建了个用户来自动上传这个文件。 那对方是怎么改filezilla的配置文件的呢?经查目录的权限设置有问题,导致该网站对应的虚拟用户可以修改filezilla的配置文件。 至此,可以大致推导出,对方通过网站的漏洞拿到了webshell,然后访问并修改了filezilla的配置文件,在其中加了一个用户,再通过这个用户来修改网站。  经询问同事,最后确认他将filezilla重新安装到其他盘符了,结果导致filezilla继承过来的权限中是允许认证用户组的访问和修改的,才有了这次的事件。

综合此处事件,得出下列结论:

  1.   服务器上的目录变动后, 一定要检查权限,特别是除system和administras外的组一定要删除掉
  2.   filezilla一定要分配用户来运行,这样即使filezilla出现漏洞,拿到的权限也是受限的。
  3.   制作网站还是要找靠谱的公司和团队,网站除了版面要经常更新外,后端系统也是要经常需要更新和打补丁的

本文地址http://www.lmygzs.com/archives/1164.html

版权说明:如非注明,本站文章均为 蓝蚂蚁工作室 原创,转载请注明出处和附带本文链接。

模板分类
福扫码领红包
联系我们
推荐内容
扫一扫关注我们,微信号:lmywzgzs