夫唯域名网网站频繁遭受恶意挂载的情况解析及应对策略
依据个人网站遭受挂载的经验,与大家进行分享。众多站长,清晨醒来,发现网站所有页面均遭挂载,慌乱不已,经历数次后,我发现了几种常见情况。首先,通过服务器WEBSHELL入侵进行网站挂载,这种情况通常需要重装服务器,调整权限设置。在服务器安全策略不足、账户设置、补丁更新、IIS下文件夹不同权限的访问权限、以及第三方软件的安全性设置等方面,如SEV-U、SQLSERVER等,在网站中均能找到。这种情况下,我们通常能在C盘根目录下发现可疑的可执行文件,用户组中存在未知用户,权限拥有ADMINISTRATOR权限。此时,唯有重装服务器,因为服务器已被挂载。因此,从最初重装服务器时,就要充分考虑权限问题。(备注:数据备份必须规律且及时)
其次,网站程序遭受注入攻击,如SQL注入、上传代码漏洞等。一般分为两种情况:
-
网站程序由自主开发或下载后结合自主开发,此类程序在前期开发时,要充分考虑注入与上传设置。下载程序前先进行杀毒,如无法解决,则使用通用防注入程序。开发完成后,使用网站扫描工具进行扫描。其中,需重点关注SQL数据库权限、上传文件权限、网站防注入措施、上传代码或第三方组件等方面。充分考虑这些方面后,若被挂载,在第一步无问题的情况下,查看IIS日志,查看网站最新更新文件及新建文件,使用杀毒软件清除可疑文件。如果是静态文件,则可使用字符替换器进行替换,完善网站程序。
-
程序为网上购买或采用第三方程序。此类程序一般没有太大问题,但用户众多,漏洞暴露也就越多。对于此类程序,我们要做到:首先,尽量不修改原程序结构和数据结构;其次,经常关注官方更新及发布;再次,及时打补丁升级。若修改过多,升级将变得麻烦。此类程序被挂载后,第一时间去官方查看及咨询,查看网站自身日志、管理权限等方面。许多人为了方便,密码设置简单,而现在能猜测密码的人越来越多。对于此类网站,及时打补丁,关注官方发布应该没问题。
第三,机房其他IP遭受攻击。我曾经历过几次,网页被挂载,服务器上却查不出原因,后来才发现是机房其他IP遭受恶意攻击。及时咨询机房人员,此类挂载代码通常出现在最上方。
第四,局域网遭受攻击。有时,公司多人访问网站发现中招,其实是其中一台电脑中招,导致访问多个网站都中招。使用ARP防火墙或MAC地址查看,查到源机器,切断网线。遇到挂载问题时,站长要冷静分析,尽快解决问题。
实战:如何应对网站挂载
网站挂载通常由程序漏洞导致,检查图片上传目录是否有可疑脚本文件,如asp、php等后缀的文件。查看首页是否有被修改、增加加密代码或外部链接。
防范措施如下:
-
程序代码漏洞,这需要具备安全意识的程序员进行修复。通常在网站被挂载后,才知道需要针对哪方面进行修复。
-
可以通过安全公司来解决,国内如Sinesafe、绿盟等安全公司。
-
服务器目录权限的“读”、“写”、“执行”、“是否允许脚本”等,使用经验丰富的虚拟空间提供商的空间,可以有效降低被挂载几率。
