網(wǎng)站IIS被劫持收錄大量灰色快照內(nèi)容的解決過(guò)程

時(shí)間：2023-07-10 13:42:01 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-07-10 13:42:01 來(lái)源：網(wǎng)站運(yùn)營(yíng)

網(wǎng)站IIS被劫持收錄大量灰色快照內(nèi)容的解決過(guò)程：距離世界杯的開幕還差5個(gè)多月，許多網(wǎng)站以及IIS被劫持收錄大量TFWC 2022年卡塔爾世界杯、體育等菠菜違規(guī)內(nèi)容快照，大家也可以自行檢查下自己的網(wǎng)站在百度權(quán)重，是否上升的很快，再一個(gè)查看關(guān)鍵詞排名情況，如果發(fā)現(xiàn)都是一些體育，菠菜，QP等等的長(zhǎng)尾關(guān)鍵詞，那基本上就是網(wǎng)站被黑客入侵并篡改了代碼，我們SINE安全公司近期處理了許多中小企業(yè)網(wǎng)站的客戶，他們也都是收錄的世界杯菠菜相關(guān)內(nèi)容的百度快照，網(wǎng)站很多頁(yè)面的標(biāo)題、描述都被篡改，訪問(wèn)網(wǎng)站正常也察覺(jué)不出網(wǎng)站被攻擊或者被劫持，像快照被劫持這種比較隱蔽的攻擊，許多站長(zhǎng)不容易發(fā)現(xiàn)，得需要專業(yè)的安全技術(shù)才能檢查的出來(lái)。

那如何確定網(wǎng)站是否被快照劫持？SINE安全老于給大家詳細(xì)的介紹一下，首先可以打開百度站長(zhǎng)工具，看下近期的收錄是否異常，像收錄突然猛增，百度的蜘蛛抓取次數(shù)是否多了很多，再一個(gè)看下site:www.***.com自己的網(wǎng)站，看最近一個(gè)月的收錄，是否收錄大量的世界杯體育，菠菜、QP等惡意內(nèi)容的百度快照。再一個(gè)快照劫持的特征是，直接訪問(wèn)網(wǎng)站是不會(huì)出現(xiàn)跳轉(zhuǎn)，從百度點(diǎn)擊進(jìn)入網(wǎng)站，會(huì)直接跳轉(zhuǎn)到違規(guī)網(wǎng)站上去。我們sinesafe以實(shí)際的客戶案例給大家看下，像下面這種收錄內(nèi)容，基本上就是網(wǎng)站快照被劫持了，也可以說(shuō)是網(wǎng)站被黑客攻擊了。

快照劫持簡(jiǎn)單來(lái)講，便是黑客利用網(wǎng)站存在的代碼漏洞，去入侵網(wǎng)站，并上傳webshell木馬文件，通過(guò)腳本木馬，去篡改IIS，以及數(shù)據(jù)庫(kù)配置文件，植入劫持快照的惡意代碼，這個(gè)惡意代碼會(huì)根據(jù)訪問(wèn)用戶的特征進(jìn)行判斷，當(dāng)百度蜘蛛來(lái)訪問(wèn)網(wǎng)站的時(shí)候，就會(huì)將世界杯、菠菜、QP等違法不良內(nèi)容展現(xiàn)給百度蜘蛛看，讓蜘蛛去抓取這些內(nèi)容，并收錄到百度中，有些用戶訪問(wèn)的時(shí)候，就會(huì)跳轉(zhuǎn)到黑客推廣的世界杯頁(yè)面。

網(wǎng)站快照被劫持該怎么辦？

要徹底的解決網(wǎng)站快照被劫持的問(wèn)題，要從網(wǎng)站源代碼入手，去檢查代碼是否存在漏洞，對(duì)漏洞進(jìn)行修復(fù)，以及網(wǎng)站木馬后門的檢測(cè)與清除，包括網(wǎng)站安全一系列的安全加固。針對(duì)這種劫持問(wèn)題，我們SINE安全以現(xiàn)實(shí)客戶為解決案例，進(jìn)行解說(shuō)?？蛻艟W(wǎng)站使用的是Windows服務(wù)器，系統(tǒng)是2012系統(tǒng)，中間件是IIS 10.0版本，網(wǎng)站代碼是aspx架構(gòu)，自己?jiǎn)为?dú)開發(fā)的，數(shù)據(jù)庫(kù)架構(gòu)是sql，因?yàn)榭蛻艟W(wǎng)站在百度權(quán)重是5，收錄基本都是秒收，關(guān)鍵詞排名也都很靠前，在被黑客篡改代碼，劫持快照收錄大量違規(guī)內(nèi)容的當(dāng)天，就找到我們SINESAFE，我們立即進(jìn)行了安全應(yīng)急響應(yīng)，客戶提供了服務(wù)器以及網(wǎng)站的相關(guān)信息，我們對(duì)網(wǎng)站的所有代碼進(jìn)行了人工安全審計(jì)，檢查漏洞，以及存在的木馬后門，對(duì)網(wǎng)站日志進(jìn)行了詳細(xì)分析，包括服務(wù)器日志，也都進(jìn)行了檢查，通過(guò)客戶提供的攻擊時(shí)間，我們溯源了整個(gè)黑客攻擊路徑。







首先我們?nèi)斯?duì)代碼進(jìn)行檢查，發(fā)現(xiàn)了木馬文件，也叫webshell后門，也可以理解為aspx腳本大馬，該木馬可以對(duì)網(wǎng)站的源代碼進(jìn)行修改，刪除，上傳等的一些操作，通過(guò)該文件的創(chuàng)建日期，我們查了相關(guān)的網(wǎng)站訪問(wèn)日志，發(fā)現(xiàn)黑客是通過(guò)上傳文件代碼這里，直接POST上傳了后門文件，我們SINE安全對(duì)上傳代碼進(jìn)行了人工安全審計(jì)，發(fā)現(xiàn)該代碼存在文件上傳漏洞，黑客可構(gòu)造惡意參數(shù)直接繞過(guò)文件格式限制，上傳了.aspx的文件。我們立即對(duì)該代碼漏洞進(jìn)行了修復(fù)，并對(duì)檢查出來(lái)的木馬后門進(jìn)行了刪除。又檢查了其他代碼，黑客留了不少后門在網(wǎng)站目錄下，在附件目錄以及CSS目錄，后臺(tái)目錄都有發(fā)現(xiàn)，都一一記錄下來(lái)，并強(qiáng)制刪除。

木馬和漏洞都已修復(fù)，可以我們發(fā)現(xiàn)客戶的網(wǎng)站快照還在繼續(xù)被劫持，點(diǎn)擊進(jìn)去還是跳轉(zhuǎn)到惡意網(wǎng)站上，我們又對(duì)服務(wù)器進(jìn)行了檢查，發(fā)現(xiàn)IIS被劫持了，我們SINE安全技術(shù)又對(duì)服務(wù)器系統(tǒng)進(jìn)行了安全檢測(cè)，發(fā)現(xiàn)，服務(wù)器被黑客提權(quán)增加了管理員賬戶，也就是說(shuō)服務(wù)器也被黑客入侵了，這里簡(jiǎn)單解釋一下，由于aspx權(quán)限較大，可以直接添加管理員到服務(wù)器中，黑客可以執(zhí)行系統(tǒng)命令，正常來(lái)說(shuō)，服務(wù)器的維護(hù)人員應(yīng)該對(duì)aspx的權(quán)限進(jìn)行限制，至給普通用戶的權(quán)限去運(yùn)行即可，由于安全意識(shí)薄弱導(dǎo)致服務(wù)器被入侵。由于黑客篡改了IIS，導(dǎo)致快照還在繼續(xù)收錄，包括跳轉(zhuǎn)也還在，我們對(duì)IIS進(jìn)行了檢測(cè)，發(fā)現(xiàn)植入了惡意代碼，導(dǎo)致整個(gè)IIS里的網(wǎng)站都被快照劫持，收錄大量違法內(nèi)容。人工對(duì)其惡意的IIS代碼進(jìn)行了刪除，問(wèn)題得以徹底的解決。隨后我們對(duì)服務(wù)器進(jìn)行了人工安全加固，端口安全部署，以及文件權(quán)限部署，數(shù)據(jù)庫(kù)安全加固等等一系列的操作，防止黑客再次的攻擊。

懂點(diǎn)技術(shù)的，也可以按照下面方法進(jìn)行處理快照劫持的問(wèn)題。

1.分析服務(wù)器日志，網(wǎng)站日志，以及網(wǎng)站收錄情況是否存在異常，看下網(wǎng)站訪問(wèn)日志是否有大量百度蜘蛛爬取某些不存在的頁(yè)面。

2.檢查網(wǎng)站源代碼是否被植入木馬后門，可以對(duì)比之前的文件進(jìn)行一一查看，尤其是檢查網(wǎng)站的首頁(yè)代碼和數(shù)據(jù)庫(kù)配置代碼，還有JS，css代碼里是否存在劫持的惡意代碼。

3.通過(guò)百度站長(zhǎng)工具，進(jìn)行模擬百度蜘蛛抓取，看下網(wǎng)站是否抓取的內(nèi)容，跟你正常瀏覽的內(nèi)容不一樣，來(lái)判斷網(wǎng)站被劫持。

4.刪除惡意的劫持蜘蛛代碼，然后對(duì)網(wǎng)站代碼漏洞進(jìn)行修復(fù)以及修補(bǔ)，如果不懂如何修復(fù)也可以找專業(yè)的網(wǎng)站安全公司，也可以找我們SINE安全來(lái)進(jìn)行修復(fù)和網(wǎng)站安全加固，徹底的解決快照被劫持的問(wèn)題。

5.對(duì)服務(wù)器進(jìn)行安全加固，可以看一下進(jìn)程以及端口PID是否異常，檢查一下對(duì)外的連接是否存在一些除了80，443等端口的IP，檢查服務(wù)器的登錄日志，看下是否有異常登錄的IP。

6.利用站長(zhǎng)工具，搜集一些收錄菠菜內(nèi)容的快照地址，并設(shè)置為404狀態(tài)，提交給百度進(jìn)行處理，當(dāng)百度蜘蛛再次爬取的時(shí)候，就會(huì)刪除這些違規(guī)內(nèi)容的快照。也可以到百度站長(zhǎng)中心反饋，或者是到百度快照更新哪里提交一下。