网站被入侵后的修复和防范

标签: 网络安全 | 发表时间:2012-11-07 14:05 | 作者:Euy
出处:http://www.fovweb.com

题记:
很久以前,我用CMS搭建了一个站点,采集了一些内容,之后就没有打理了,成为了一个没人维护的垃圾站。昨天偶尔发现网站不知何时被挂了黑链,网站之前就被黑过一次,造成了整站数据被下载,模板被贩卖…
以前总是在分享如何对别人的网站进行入侵检测,这次自己的网站也被入侵了。呵呵,正好借此机会分享一下网站被入侵后的修复和防范措施,在攻与防的对立统一中寻求突破。

1、发现问题

虽然是一个不再打理的小站,但偶尔也会打开看一下。看看互链接网站,清理下友情链接什么的。这次就是在清理友情链接的时候,发现了代码中多了一段:

首页发现黑链代码

由此可以判定,网站已经被入侵,并控制。

2、查找被篡改文件,确定入侵时间

找到篡改文件,可以根据文件修改时间确定被入侵时间,并根据时间反推,查找该时间断内的访问日志。以便定位到黑客入侵源。

定位到被篡改文件

被入侵站点采用的是我自己写的模板,所以直接找到了被篡改的首页模板位置。并发现文件的最后修改时间是 2012/10/31 18:49,可以确定最后被挂黑链的时间。

3、根据入侵时间,查找日志

由于当前CMS是全站生成HTML进行访问的,所以日志排查比较简单一点。网站的入侵过程中取得WebShell往往是第一步,直接查找页面篡改时间前后的动态文件访问日志即可。

定位到WebShell

这一些需要有一定的判断能力,因为入侵者必定会对WebShell的位置和名字进行伪装。本着几个原则进行筛查:不该出现的文件出现到了不该出现的位置、不该访问的文件被访问了。定位到common.php后,发现是一个PHP小马。

4、修复网站漏洞和 被篡改内容

由于是采用的发布版CMS系统,存在何种漏洞在网上搜索便知。根据提示进行修复即可。控制目录写入访问权限及动态文件执行权限;修改网站数据库及后台密码;修复被篡改页面,替换原页面。

5、排查PHP木马

在网上下载一份PHP木马查找的代码,进行扫描。或使用如下命令搜索文件:

find /site/* -type f -name “*.php” |xargs grep “eval(”
find /site/* -type f -name “*.php” |xargs grep “base64_decode”
find /site -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc”

通过分析搜索结果,进行排查和删除后门。

6、根据IP反查入侵者

自行反查,涉及到的因素太多很难查找到真实的攻击者。例如是伪装过的IP、ADSL的动态IP、宽带共用的公网IP,都将不易进行追踪。如果情节严重的攻击,请直接联系公安机关,保留信息证据,要知道郭嘉的系统是有上网行为记录的。

咱们小P民就试试在搜索引擎里搜索日志中获取的IP地址吧,或许会有收获的。意外的是,在搜索结果里居然有与入侵IP完全一致的搜索结果。

在搜索引擎中搜索IP

打开页面后发现IP来源于某用户,不过实际上这还说明不了什么。如果是与入侵在同一时间断内的话就有说服力了。如果有兴趣的话,其实还可以对这个用户利用社工展开分析,以确认是否为入侵者。

7、简单总结下

网络安全是木桶效应的完美体现,一个漏洞、一个权限的安全配置问题,都将是造成被入侵的重要因素。在日常的运维过程中,一定细心细致的做好每一步的安全防范,防患于未然。

关于入侵:在入侵结束后,最重要的一步就是咱们常说和擦PP,清除各类日志信息,以免给自己留下后患。另外一点是,如果需要留后门的情况下就将后门隐藏的深一些,以备后需;如果不需要留后门,一定要将相关文件清理干净,以免后患。

顺便说一下,入侵者的篡改文件操作已经是触犯了法律,也请各位网络安全爱好者,不要随意模仿。

相关 [网站 入侵] 推荐:

Anonymous成功入侵旧金山BART铁路网站

- applelen - cnBeta.COM
Anonymous显然已经成功入侵旧金山湾区的地铁系统BART的网站,在零星的DDoS之后,与BART相关的网站都被篡改,各种精心设计的Anonymous黑客集团的标志出现在网站上,此外Twitter账户,用户的电子邮件、电话号码都出现了泄漏.

MySQL.com遭入侵,浏览者被定向到恶意网站

- August Tan - Solidot
安全公司Armorize发出警告,MySQL.com遭黑客入侵,被植入脚本将浏览者重定向到一个恶意网站,然后利用BlackHole exploit pack自动检测用户使用的浏览器版本,插件如Adobe Flash、Adobe PDF、Java等,利用未修复的漏洞在用户不知情下安装恶意程序. 据趋势科技的研究人员报告,他们上周在俄罗斯地下黑客论坛发现一些黑客正以3000美元的价值出售mysql.com及其子域名服务器的根访问权限.

网站被入侵后的修复和防范

- - 视野博客
很久以前,我用CMS搭建了一个站点,采集了一些内容,之后就没有打理了,成为了一个没人维护的垃圾站. 昨天偶尔发现网站不知何时被挂了黑链,网站之前就被黑过一次,造成了整站数据被下载,模板被贩卖…. 以前总是在分享如何对别人的网站进行入侵检测,这次自己的网站也被入侵了. 呵呵,正好借此机会分享一下网站被入侵后的修复和防范措施,在攻与防的对立统一中寻求突破.

Linux.com 遭受入侵

- leafduo - LinuxTOY
Linux 基金会旗下的 Linux.com 和 LinuxFoundation.org 网站,由于发现安全漏洞,进入离线维护状态. 感谢 gbraad 提供消息. Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

kernel.org服务器遭入侵

- Lamo - Solidot
kernel.org网站首页发布公告,声称多台服务器在本月初(8月12日前)遭黑客攻击,他们在8月28日发现了入侵. 入侵者利用一位用户凭证获得了服务器根访问权限,他们正在调查黑客是如何提升权限的;系统启动脚本被加入了一个木马启动文件;ssh相关文件被修改. kernel.org声称,他们相信Linux kernel源代码库未受影响,因为git分布式版本控制系统的特性决定了它可以很容易注意到代码变化.

Linux.com 遭受入侵(更新)

- leafduo - LinuxTOY
Linux 基金会旗下的 Linux.com 和 LinuxFoundation.org 网站,由于发现安全漏洞,进入离线维护状态. 感谢 gbraad 提供消息. Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

Linux入侵检测基础

- - WooYun知识库
在linux中有5个用于审计的命令:. last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出. lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出. lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出.

[警告] LastPass 可能被黑客入侵

- hongwen he - Chrome迷
提供基于 Web 的密码管理服务 LastPass 可能已经于近日遭受到黑客攻击,并要求用户修改主密码. LastPass 团队在博客中说道:. 周二早上我们发现我们的一个非主要服务器上有数分钟的网络流量异常,这种偶尔发生的情况最后通常确定是我们员工的操作或者是由一个自动执行的脚本引起. 但这一次我们没有找到根本原因,在对这个异常情况进行深入分析之后,我们在一个数据库上发现一个类似但更小的匹配流量异常(该数据库发送的流量比我们其他数据库接收的流量更多).

黑客轻易入侵花旗银行

- Wuvist - Solidot
Visame 写道 "盗取超过200,000名花旗银行客户资料的黑客使用了一种极其简单的方法入侵. 此举被称作是近年来最大胆的一次银行入侵. 黑客们仅仅是简单地登录花旗公司的信用卡客户专区,然后把浏览器地址栏中自己的帐号替换成他人的帐号,便可顺利进入他人的帐号. 随后黑客们使用计算机程序重复这一过程.

外星猫正在入侵地球

- 雪倩 - 鸸鹋动物园
借用微博上狗发发同学的话:“它们平时都是装出来的,它们在每个我们睡去的夜晚,都直立行走并且屹立在窗前抽着烟叹气:明天还要继续装萌喵,再忍忍喵,2012母舰就来接我们了喵”. © 丸子 for 鸸鹋动物园, 2011. 转发本文地址 外星猫正在入侵地球 http://www.ermiao.com/video/20110905/21712.html.