2018年6月12日我们接到一个网站新客户反映收到一封来自北京市公安局海淀分局网安的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在xx日之前进行整改,并要求提供整改方案。对于未按期整改的,将进行行政处罚,下面为截图:
内容如下:
北京市公安局海淀分局
信息系统安全等级保护限期整改通知书
京等保限字[2018]第06xxxx号
北京xxxxxxxxxxx
近日,我大队接通报,贵单位网站(域名:xxxcom)存在网络安全漏洞。(详见附件)
根据《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》的有关规定,请你单位立即对上述问题进行核实、处置,对本单位负责的所有网站和信息系统进行全面排查和持续整改,避免发生网络安全事件,并在2个工作日内将整改情况函告我单位在期限届满之前,你单位应当采取必要的应急安全保护管理和技术措施,确保安全风险及隐患消除前信息系统安全运行,防止被黑客攻击利用.
(注:对短期内无法完成整改的,你单位应制定整改截止时间明确的建设整改方案,并将该方案同整改情况一并报公安机关).
对于未按期限完成整改的,我单位将依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》的规定,对你单位进行行政处罚.
联系单位:海淀分局网安大队
1.网站受到整改通知书的处理过程如下:
针对这个问题的客户网站,针对客户的网站安全问题,我们sine安全公司立即组织网络安全部门,成立信息系统安全等级保护小组,对该客户的网站进行全面的网站安全检测,网站漏洞检测,网络安全漏洞测试,客户用的是阿里云的虚拟主机网站架构程序用的是aspx+sql2005 空间大小2个多g。随即对网站进行了第一步操作就是网站与数据的备份,下载到本地以防数据被黑客篡改入侵而造成的损失.然后根据网站整改通知书里面的附件截图看了下木马后门的位置,截图如下:
那么咱先看下这个iaa目录下的9di5s.aspx文件的代码,代码如图:
这个文件是一个隐蔽性极强的一句话后门,而且是过了所有杀毒软件,那么看到这个文件就要分析网站从哪个漏洞或文件上传的这个木马后门呢?那就随我详细的来揭秘,立即对程序代码进行了安全审计发现客户网站程序用的是动易cms下的sitefactory系统,由于之前我们sinesafe接过此类动易系统的客户,所以了解这个一句话aspx后门的强大性质,随即连接了这个后门木马,功能如图:
事发前网站系统,一切正常运行并没有发现任何篡改的痕迹,网站首页没有被恶意跳转以及百度快照劫持篡改等相关的问题。后续我们对网站的所有文件,代码,图片,数据库里的内容,进行了详细的安全检测与对比,从sql注入测试、xss跨站安全测试、表单绕过、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全面的安全检测。
2.网站安全问题总结
1.发现网站根目录下的global.asax文件被篡改,通过代码发现该代码被植入了恶意代码,该恶意代码是用来劫持各大搜索引擎的蜘蛛,用来收录恶意内容,做搜索词的排名。溯源追踪到调用的网址,发现该网址已停止解析。也就说内容无法调用,也就不会造成搜索引擎蜘蛛的抓取。
2. 发现网站前台有sql注入,黑客通过sql注入拿到了管理员的md5密码并直接登录了后台,然后通过后台文件上传漏洞,可以上传任意文件,包括aspx木马文件的上传,登录后台管理,打开系统设置—打开模板标签管理—添加内嵌代码—生成代码即可生成aspx木马文件。
3.后台管理员账号密码安全隐患,很多账号采用的密码都是比较简单的数字+字母符合,比如admin 密码admin123456,很容易遭受攻击者的暴力猜解
4. 后台管理登录地址路径默认安全隐患/admin/login.aspx,很容易遭受攻击者的暴力路径猜解。
5.综合上述把这几点安全问题落实整改,然后对网站安全做上防篡改,主动防御网站防入侵.找到问题后我们sinesafe帮客户进行安全代码审计以及修复网站漏洞然后出具整改报告详细记录反馈给网安大队,一共要出具2份单子,一份是网站整改报告单,一份是网站安全案事件调查处置情况记录单,2个单子图片如下:
6.如何写信息系统安全等级保护限期整改通知书以及网站安全的防护措施
1、选择安全、稳定的主机服务器商,选择好主机服务器商之后,我们也要时刻查看主机服务器上的其他网站,看一下他们网站的安全情况,如果他们网站也被入侵了,我们也会受到牵连,可能会造成自己网站被攻击。
2、如果自己对程序代码编程不太了解的话,建议找网络安全公司去修复网站的漏洞,以及写信息系统安全等级保护限期整改通知书,国内推荐,sine安全公司、绿盟安全公司、启明星辰等等的网站安全公司,做深入的网站安全服务,来保障网站的安全稳定运行,防止网站被挂马之类的安全问题。
3、网站的密码使用md5增强加密,以及设置密码的时候尽可能的设置12位以上的密码,数字+大小写字符+特殊符号组合。
4、定期的更新服务器系统漏统(windows 2008 2012、linux centos系统),网站模版漏洞,网站程序漏洞,尽量不适用第三方的api插件代码,除此之外,服务器上的杀毒软件存在的必要性相信我不必再叙述了。
5、选择代码安全的网站系统,目前cms系统是移动互联网的主流趋势(php+mysql数据库开发),选择cms系统,一定要选择比较主流的系统,开发商的修复漏洞以及更新补丁速度会很高效,售后也跟的上。