網站被攻擊 如何修復網站漏洞來防止攻擊

客戶網站前端時間被攻擊，網站被劫持到了賭bo網站上去，經過朋友介紹找到咱們SINESAFE作網站的安全防禦，咱們隨即對客戶網站進行了全面的滲透測試，包括了網站的漏洞檢測與代碼安全測試，針對於發現的漏洞進行了修復，包括網站安所有署等等方面，下面咱們將這一次的安全應急處理過程分享給有須要的客戶。

首先客戶網站採用的架構是PHP語言開發，mysql數據庫，使用的是linux centos系統做爲網站的運行環境，代碼使用的是開源的某CMS系統，咱們首先打包壓縮了一份網站源代碼到咱們本地的電腦，人工對其代碼進行全面的滲透測試與檢測，首先咱們會從網站的安裝文件入手，咱們查看到使用的是install.php做爲網站安裝的文件，通常這裏會存在網站漏洞，例如：沒有對其作安全驗證，致使能夠任意的安裝網站，覆蓋配置文件，甚至可能會出現表單裏不作安全過濾，致使寫入webshell一句話木馬代碼到config.php文件裏。

通過咱們SINE安全技術的人工代碼安全審計，發現客戶網站存在任意重裝網站漏洞，漏洞文件：install.php，查看到使用的變量值爲DEL_INSTALLER=1的時候纔會刪除安裝文件，咱們看到默認值=0.也就是說不會刪除安裝文件，咱們能夠訪問該代碼，直接執行重裝操做。

繼續檢查代碼是否還存在其餘的漏洞，在檢查到配置文件config.php代碼中，有調用到cookies方面的賦值，繼續追蹤分析發現存在越權漏洞，管理員登陸網站後，會保存cookies，可是這個cookies的構建很簡單，是使用了emhash的方式，對傳入的key值進行了MD5加密操做，最終cookies的構成是由帳號名以及HASH值拼接構成的，那咱們就能夠僞造cookies，直接越權操做其餘管理員帳號，甚至能夠以普通用戶的權限，去操做網站管理員的權限。

咱們SINE安全工程師對後臺代碼進行安全審計的時候發現，存在上傳漏洞，能夠上傳php文件，後臺有個設置上傳後綴名的功能，可是默認網站對添加PHP的後綴名作了過濾，會將PHP稀釋掉，以及不容許，那麼咱們在實際的滲透測試中如何繞過呢？看到後臺有數據庫備份恢復的功能，那麼我就能夠將數據庫裏的後綴名改成php，再直接恢復到網站中去，直接上傳PHP腳本後門也叫webshell到網站裏去。

至此客戶網站的全部滲透測試以及漏洞檢測已完畢，共發現3處漏洞，1個是install.php安裝重置漏洞，1個是越權漏洞，1個是文件上傳漏洞，針對以上3個漏洞，咱們SINE安全對其作了漏洞修復，對install的變量值進行了判斷，當網站安裝後，自動刪除install.php文件，對越權作了用戶的所屬權限判斷，若是不是當前用戶的cookies直接返回錯誤狀態，對後臺的數據庫備份功能作限制，只能備份，不能恢復，恢復操做使用phpmyadmin來進行網站的數據恢復，若是您對網站的安全不是太懂的話，建議找專業的網站安全公司來處理解決，作好網站安全，才能保障用戶的每一次訪問。