阿里雲短信提示 發現後門(webshell)文件的解決

昨晚凌晨收到新客戶的安全求助，說是阿里雲短信提示，網站有webshell木馬文件被植入，咱們SINE安全公司當即成立，安全應急響應小組，客戶提供了阿里雲的帳號密碼，隨即登錄阿里雲進去查看到詳情，登錄雲盾看到有這樣的一個安全提示「網站後門-發現後門(Webshell)文件」事件等級：緊急，影響資產：阿里雲ECS：ID，而後貼出了網站木馬文件的路徑地址：/www/wangzhan/safe/indnx.php。

網站安全事件說明：雲盾檢測到當成有異常進程在嘗試向磁盤上寫入WEBSHELL後門文件，致使1次入侵，若是該行爲不是您主動執行，請及時刪除對應文件。 阿里雲解決方案：請及時排查WWW目錄下是否存在WEBSHELL，並及時清除。看到阿里雲給的木馬路徑以及解決方案，隨即登錄客戶的linux服務器，查看到www目錄下確實多出一個indnx.php的文件，用SFTP下載下來這個文件並打開，看到是一些加密的代碼，一看就是木馬代碼，以下圖：

這些加密的字符，也就是webshell，那到底什麼是webshell?咱們SINE安全來給你們普及一下，就是網站木馬文件，至關於咱電腦裏的木馬病毒，能夠對網站代碼進行修改，上傳，下載等木馬功能。Webshell通常是asa,cer,asp,aspx,php,jsp,war等語言的腳本執行文件命名的，也能夠叫作是網站後門，攻擊者入侵網站後都會將webshell木馬後門文件上傳到服務器，以及網站的根目錄下，經過訪問特定的網址進行訪問網站木馬，對網站進行控制，任意篡改，說白了，就是你的網站被黑了。

根據阿里云云盾給出的木馬文件路徑地址，咱們從瀏覽器裏打開看下：

如上圖所示該網站木馬

能夠看到網站根目錄，以及上傳文件，查看系統基本信息，執行mysql命令，反彈提權，文件下載，服務器端口掃描，批量掛馬，更名，刪除文件，打包文件等管理員的操做。功能太強大了，那麼客戶的網站爲什麼會被上傳了webshell呢？

通常都是網站存在漏洞，被攻擊者利用上傳了webshell的，像網站的上傳漏洞，SQL注入漏洞，XSS跨站漏洞，CSRF欺騙漏洞，遠程代碼執行漏洞，遠程包含漏洞，PHP解析漏洞，都會被上傳網站木馬，咱們SINE安全對客戶的網站代碼進行人工安全檢測，以及網站漏洞檢測，全面的檢測下來，發現客戶網站存在遠程代碼執行漏洞，網站代碼裏並無對SQL非法注入參數進行全面的過濾，以及前端用戶提交留言欄目裏的liuyan&這個值，在轉換賦值的過程當中致使了遠程代碼的執行，能夠僞造攻擊的語句進行插入，致使服務器執行了代碼，並上傳了一句話木馬後門。

對客戶的網站漏洞進行修復，清除掉網站的木馬後門，前端用戶的輸入進行安全過濾，對變量賦值增強數字型強制轉換，網站安所有署，文件夾權限安所有署，圖片目錄，緩存文件目錄去掉腳本執行權限。

如何解決阿里雲提示發現後門(webshell)文件

1.針對阿里云云盾給出的後門文件路徑進行強制刪除。

2.使用開源程序的CMS系統，進行升級，漏洞補丁修復。

3.對網站的漏洞進行修復，檢查網站是否存在漏洞，尤爲上傳漏洞，以及SQL注入漏洞，嚴格過濾非法參數的輸入。

4.對網站的全部代碼進行檢測，是否存在一句話木馬後門文件，能夠對比以前備份的文件，一一對比，再一個查看文件的修改時間，進行刪除。

5.對網站的後臺地址進行更改，默認都是admin,houtai,manage等的目錄，建議改爲比較複雜的名字，即便利用sql注入漏洞獲取到的帳號密碼，不知道後臺在哪裏也是沒用的。

6.網站的目錄權限的「讀」、「寫」、「執行」進行合理安所有署。若是您的網站一直被阿里雲提示webshell，反覆屢次的那說明您的網站仍是存在漏洞，若是對網站漏洞修復不是太懂的話，能夠找專業的網站安全公司來解決阿里雲webshell的問題。