由于网络安全方面也是小白,我就写一下整个过程吧。最终也没有彻底解决(2019年7月29日已解决:点我),希望有经验的朋友看到能够指点一下。
一、官网跳转到博cai网站
今天突然有人反映,打开公司官网,却跳到了一个博cai网站。
我赶紧在浏览器输入公司域名打开看看,一切正常。一开始还以为同事开玩笑,然后他截图过来,还真是。如下图:
对比打开官网的方式之后,我发现,他是在百度搜索,而我是直接输入域名。
于是我也在百度搜索再点击进入官网,同样跳到了博cai网站。
二、查看服务器上文件
我赶紧远程到服务器,查看项目。
接着发现项目里的index.aspx文件修改日期不对,打开查看一下,发现多了一段没见过js脚本。
而且,官网以前是动态的,分了几段拼起来的,而现在却成了一个静态的网页。
于是我和同事删掉这段脚本,将首页恢复,再百度搜索打开官网,官网正常访问了。
但是我们知道这种解决方式没有用,因为没找到源头,如果明天再看,肯定还是会被修改。
三、开始解决
早上过来,早餐还没吃,就赶紧百度搜索官网并打开,官网依然会跳到博cai网站。
嗯,想想也不惊讶,毕竟还没解决。
于是又去服务器恢复文件。
首先保障正常访问,为我们解决问题争取时间。
在网上看到有人推荐安全防护工具安全狗,于是在服务器上下载安装了。
这个要注册,简单注册一下,弄了个体验权限,开始查杀,2小时过去了,啥也没查到。但是可以看到隔几分钟就有一次攻击。
我同事觉得这个安全工具这个不行,于是装了个360杀毒,然后开始用360扫描。
360厉害呐,查出几百个病毒感染文件,顿时赶紧有救了。
处理好这些后,我打算去阿里云看看。
我登录到阿里云控制台,好多数字映入眼帘。多次服务器异地登录、漏洞n个、网站后门程序几十个还有这几天遭受的攻击次数。
瞬间有点心疼服务器了,好像自己的孩子在外面被人揍了一样。
接着,我去查看服务器设置的安全组,惊讶的发现,这个安全组规则居然是全开放的。
注意上面那个端口-1/-1和授权规则0.0.0.0/0设置了允许,就表示开放了所有的端口和ip,这样是非常不安全的。正常情况下,我们仅开放我们需要的端口。
于是我针对项目需要,重新配置了一下安全组规则。
其实服务器登录一般就几个人,这样3389(windows服务器远程端口)或者22(安全组里面有linux服务器)就配置这几个人的ip就好了,更加安全。
然后针对平台上提示的一些漏洞进行了修复和安装补丁。
最后,把云管理平台和服务器的密码都修改了更为复杂的密码类型,大小写字母+特殊符号+数字。感觉从外部攻击到服务器,应该做好了防御措施了(不过也有可能程序有漏洞,项目里面有上传的功能,编辑新闻图片啥的,不知道有没有对文件类型做限制,这个项目都是n年前写的,语言是C#,我也不太懂)。
四、最终
一天过去了。跟之前一样,来公司第一件事就是访问一下官网。当当!正常访问,没问题,心里美滋滋。
这时,想拿手机试一下,结果,又出现了可恶的博cai网站。
我赶紧拿给同事看,于是我按照之前的步骤访问,在手机上搜索,点击访问。居然一切正常。
同事问号脸。
好奇怪,我只能让他拿自己手机访问试试。当当!也跳了博cai网站,同事也惊讶了,昨天360杀的几百个病毒还有残留?
我们分析,可能是有隐藏的后门程序没查到。
于是再次360全盘扫描,这次没查出啥。
嗯,至少昨天打的补丁、配的安全组、改的密码起到了作用,好像没有外部攻击成功,应该是余党作怪。我们安慰了一下自己。
接下来只好继续查资料。
同事找到一个D盾的工具,于是我们试用了一下。下载地址
嗯?好像有点强大?
还可以限制脚本对文件的行为。
建议先添加这个限制规则,再去查杀,因为可能在查杀时候,病毒在继续感染。
希望处理掉查出来的这些异常文件后,能摆脱这个博cai网站。
然而,我重新扫描后,又出现了很多后门文件,心累。
暂时写到这了。后续有新的办法再更新,也希望有经历过的朋友留言交流一下。
五、总结
服务器安全问题是比较容易忽略的一点,分享一下至少应该做好的服务器安全工作:
- 配置安全组规则;
- 提高服务器等密码复杂度;
- 有文件上传的功能,做好文件类型判断;
- 对项目文件增加只读权限(个人认为可以放开个别文件,如日志文件);
- 使用一些安全防护工具;
小白整理,希望有大神指点和补充,感谢阅读。
