南宁处理网站漏洞防御服务

青岛四海通达电子科技有限公司

2022年百度自然排名受到很大的影响，但作为站长每天忙碌的就是发文章做优化，让网站有更好的排名从而带来许多客户，但近网站总是中毒信息被篡改，导致快照内容被篡改，网站目录下的页文件总是被反复篡改，说到这里，很多做站长的特别能理解网站中毒后带来的损失，轻则排名下降，重则降权，那么由网站漏洞修复的SINE安全技术为大家详细介绍。
做的人怕什么?肯定是怕自己的被黑掉，如何知道判断自己的被黑呢?如果被黑以后怎么办呢?下面我来告诉大家。
一、如何判断被黑
先通过外界对进行观察，如果有如下现象，那您的可能被黑了
1、通过百度站长平台的索引量工具，发现站点收录量大增;再通过搜索关键词工具发现，站点获得流量的关键词中有很多与本站点无关。
2、通过Site语法查询站点，显示搜索引擎收录了大量非本站应有的页面。
注：site查询结合一些常见的违规类关键字，可帮助站长更快的找到异常页面
3、从百度搜索结果中点击站点页面，跳转到了其他站点。
4、站点内容在搜索结果中被提示存在风险。
5、从搜索引擎带来的流量短时间内异常暴增。
如何判断被黑和被黑处理方法
二.被黑处理方法
1、立即停止服务，避免用户继续受影响，防止继续影响其他站点(建议使用503返回码)。
2、如果同一主机提供商同期内有多个站点被黑，您可以联系主机提供商，敦促对方做出应对。
3、清理已发现的被黑内容，将被黑页面设置为404死链，并通过百度站长平台“死链提交工具”进行提交。
4、排查出可能的被黑时间，和服务器上的文件修改时间相比对，处理掉上传、修改过的文件;检查服务器中的用户管理设置，确认是否存在异常的变化;更改服务器的用户访问密码。
注：可以从访问日志中，确定可能的被黑时间。不过可能也修改服务器的访问日志。
5、做好安全工作，排查存在的漏洞，防止再次被黑。
后觉得防治防治，防大于治，平时要做好的文件备份与数据库备份，即使被黑了，也不用担心，可以东山再起，建议一个星期备份一次，不要怕麻烦，如果真没有备份，到时候后悔都来不及。

如何解决网站经常被篡改遭到快照劫持的问题？在2022年元旦前，我们刚刚解决了客户网站被劫持的问题，并用这个例子来做介绍。这位客户的网站遭到攻击，点击百度排名链接发现跳转到一些灰色行业平台上。因客户疏忽，未联系网络安全公司进行漏洞检测，也没有提供安全技术人员进行安全维护，更是直接对网站进行了操作优化，把网站排名提升到百度页。但是好景不长，网站出现了页没有篡改的情况，没太当真，把备份覆盖回去就没问题了，但是，几天后又被篡改，再一次，客户的用户反馈百度的链接被网站安全中心提示站点有违规信息以及阿里云阻断了域名的访问，此时客户是通过朋友找到我们SINE安全的。

实际上，大部分的网站被攻击都是利用数据库来攻击的，因此，将数据库中没有用的的数据表掉，这是防护网站被攻击的重要方法。我们必须要要求网站系统功能简单，没必需做一些有难度的功能要求，有难度的功能不会给你带来任何益处。事实上你就会发现，当你的网站只是一些简单的html内容，搜索引擎收录这些页面会很快，而同样的页面，你把它放在有难度的程序系统中，收录速度却很慢。

一.被黑的状况分析
1.客户的采用的是，织梦DEDECMS系统（PHP+MYSQL数据库架构）,dedecms漏洞在近几年实在是爆出了太多,但是现在用dedecms做以及平台的也很多,一般企业站或做优化排名的都是用这个织梦的程序来做,优化快,访问速度也快,全站可以静态文件生成，方便管理更新文章，
也方便打开的速度，以及关键词方面的优化与提升。通过与客户的沟通了解，发现客户的，只要是发布新的文章，并在后台生成新的html页面，或者生成首页index.html,就会被攻击者直接增加了一些加密的代码与dubo的内容,图片如下：
被篡改的内容都是加了一些与不相关的内容,而且这个代码还做了JS判断跳转，针对于Baidu搜索来的客户，会直接跳转到这个垃圾页面，导致360提示,百度提示风险的图片如下：
在百度的搜索中会直接风险提示：百度网址安全中心提醒你：该页面可能存在木马病毒。通过对客户的所有代码的安全检测与代码的人工安全审计，发现首页index.html中的内容被篡改，并发现在dedecms模板目录文件下的index.htm文件也被篡改了。
我们来打开index.htm模板文件，看下代码：
下面的这一段代码是加密的JS跳转代码，是根据百度搜索等相应的条件，进行判断，然后跳转，直接输入域名不会跳转。
上面查到一些加密的代码，用编码的解密查到，是一些bocai相关的内容，我们把生成首页后被篡改的内容直接掉，然后对其里留存下来的木马病毒，以及木马后门进行清除，并做好的漏洞检测与漏洞修复，部署防篡改方案。
二.被黑的清理过程记录
1.经过SINE安全技术的安全审计后，在安全的处理过程中发现根目录下的datas.php文件内容属于assert类型的一句话木马。那么既然发现有一句话木马，那肯定是存在PHP脚本木马的，随即发现在css目录下有个文件是base64加密的代码,我们访问该木马地址，进行了访问发现的确是木马病毒的，所在图片如下：
该PHP脚本木马的操作权限实在是太大了,对文件的编辑以及改名，以及执行恶意的sql语句，查看服务器的系统信息都可以看的很清楚.对的所有程序代码，进行了木马特征扫描，发现了N个木马文件,怪不得客户自己说反反复复的出现被黑，被篡改的都快要了。扫描到的木马病毒如下图所示：
这么多个脚本木马后门，我们安全技术直接进行了全部清理,由于客户用的是单的服务器。那么对服务器的安全也要进行详细的安全加固和安全防护,查看到的mysql数据库，分配给使用的是root权限，（用root管理员权限会导致整个服务器都会被黑，增加了攻击风险）我们给客户服务器增加了一个普通权限的数据库账户分配给，数据库的端口3306以及135端口445端口139端口都进行了端口安全策略部署，杜绝外网一切连接，只允许内网连接，对服务器进行了详细的服务器安全设置和部署，后续我们对的所有文件，代码，图片，数据库里的内容，进行了详细的安全检测与对比，从SQL注入测试、XSS跨站安全测试、表单绕过、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全面的安全检测，与漏洞修复，至此客户被黑的问题才得以的解决。因为之前客户都是平均被篡改两三次，从做署到今天20号，客户访问一切正常，没有被篡改。
三.针对于被黑的防护建议
1.定期的更新服务器系统漏洞（windows 2008 2012、linux centos系统），系统升级，尽量不适用第三方的API插件代码。
2.如果自己对程序代码不是太了解的话，建议找安全公司去修复的漏洞，以及代码的安全检测与木马后门清除，国内推荐SINE安全公司、绿盟安全公司、启**辰等的安全公司，做深入的安全服务,来**的安全稳定运行，防止被挂马之类的安全问题。
3.尽量不要把的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。
4.后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径去访问。
5.服务器的基础安全设置必须要详细的做好,端口的安全策略，注册表安全，底层系统的安全加固，否则服务器不安全,再安全也没用。
要时刻保持备份，一旦发生中毒网站文件被篡改的问题直接先恢复备份，恢复正常访问，以免遭到降权，要检查近修改的文件，以及网站后台登录记录看看有无可疑的IP，如果是单服务器的话，要检查服务器中的所有网站看看可疑的脚本文件，检查附件目录有无脚本后缀的文件，也可以对访问日志进行溯源，就会查到蛛丝马迹，主要的一点就是对程序代码进行安全审计，进行网站漏洞修复，因为如果你光靠恢复备份来解决问题的话是治标不治本的，因为漏洞是存在的，要找到问题的根本，如果对代码不熟悉的话可以向网站漏洞修复公司寻求帮助，像SINESAFE，鹰盾安全，启**辰等都是对网站漏洞修复有着数十年的实战安全防护经验。