2018網站信息系統安全等級保護限期整改通知書的處理解決方案

2018年6月，咱們接到一位來自北京的新客戶反映，說是他們單位收到一封來自北京市公安局海淀分局網安大隊的通知書，通知稱：貴單位網站存在網絡安全漏洞,網站被植入後門程序，要求你單位要在XX日以前，對網站進行安全整改，並要求提供完整的整改方案。對於未定期整改的，將被予以進行行政處罰，以下圖所示：

　　網安大隊的限期整改通知書，內容以下：

　　北京市公安局海淀分局

　　信息系統安全等級保護限期整改通知書

　　京等保限字[2018]第06xxxx號

　　北京xxxxxxxxxxx

　　近日,我網監大隊接通報,貴單位網站(域名:www.xxx.com)存在網絡安全漏洞。(詳見附件)根據《中華人民共和國計算機信息系統安全保護條例》和《信息安全等級保護管理辦法》的有關規定,請你單位當即對上述問題進行覈實、處置,對本單位負責的全部網站和信息系統進行全面排查和持續整改,避免發生網絡安全事件,並在2個工做日內將整改狀況函告我單位在期限屆滿以前,你單位應當採起必要的應急安全保護管理和技術措施,確保安全風險及隱患消除前信息系統安全運行,防止被黑客攻擊利用.(注:對短時間內沒法完成整改的,你單位應制定整改截止時間明確的建設整改方案,並將該方案同整改狀況一併報公安機關)。

　　對於未定期限完成整改的,我單位將依據《中華人民共和國計算機信息系統安全保護條例》、《信息安全等級保護管理辦法》的規定,對你單位進行行政處罰.

　　聯繫單位:海淀分局網安大隊

　　聯繫人:xx

　　聯繫電話:xxxxxxxx

　　根據上述網警提供的網絡安全技術保護措施限期整改通知書，咱們發現客戶網站的問題，簡單明瞭的指明瞭該新客戶的網站存在安全漏洞，被植入了木馬後門程序，黑鏈，跳轉到惡意網站。

　　針對客戶的網站安全問題，咱們SINE安全公司當即組織網絡安所有門，成立信息系統安全等級保護小組，對該客戶的網站進行全面的網站安全檢測，網站漏洞檢測，網絡安全漏洞測試，首先咱們來介紹下客戶網站的信息系統事發狀況:

　　該網站採用的asp .net語言開發，數據庫類型是SQL Server 2008，SiteFactory動易CMS系統，使用阿里雲的虛擬主機 G享主機-G1型號，來運行網站，網站的全部數據大小，包括程序代碼，圖片，數據庫總共佔用2.3G。咱們首先對網站進行安全備份，以防數據丟失，避免形成更大的經濟損失。

　　客戶提供了網監大隊的漏洞詳情附件，咱們對其查看發現，附件裏指出網站的IAA目錄存在木馬後門文件，隨即咱們當即登陸FTP，進行查看，確實發現有這麼一個文件，對其人工安全審計發現該代碼是aspx一句話木馬後門。

　　這個代碼是一個隱蔽性極強的一句話後門,並且是過了全部殺毒軟件的查殺,一句話aspx後門的強大功能，能夠對其網站進行全面的控制，上傳，下載，修改，均可以。

　　事發前網站系統，一切正常運行並無發現任何篡改的痕跡，網站首頁沒有被惡意跳轉以及百度快照劫持篡改等相關的問題。後續咱們對網站的全部文件，代碼，圖片，數據庫裏的內容，進行了詳細的安全檢測與對比，從SQL注入測試、XSS跨站安全測試、表單繞過、文件上傳漏洞測試、文件包含漏洞檢測、網頁掛馬、網頁後門木馬檢測、包括一句話小馬、aspx大馬、腳本木馬後門、敏感信息泄露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進行了全面的安全檢測。

　　那麼看到這個文件就要分析網站究竟是由於那些漏洞而被上傳了木馬文件的呢？

　　咱們把檢測出來的信息系統安全漏洞進行了總結：

　　1.檢測發現網站根目錄下的Global.asax文件被篡改，經過代碼發現該代碼被植入了惡意代碼，該惡意代碼是用來劫持各大搜索引擎的蜘蛛，用來收錄惡意內容，作搜索詞的排名。溯源追蹤到調用的網址，發現該網址已中止解析。也就說內容沒法調用，也就不會形成搜索引擎蜘蛛的抓取。

　　2.檢測發現網站後臺文件上傳漏洞，能夠上傳任意文件，包括aspx木馬文件的上傳，登陸後管理，打開系統設置—打開模板標籤管理—添加內嵌代碼—生成代碼便可生成aspx木馬文件。

　　3.後臺管理員帳號密碼安全隱患，不少帳號採用的密碼都是比較簡單的數字+字母符合，好比admin 密碼admin123456，很容易遭受攻擊者的暴力猜解。

　　4.後臺管理登陸地址路徑默認安全隱患漏洞，http://www..com/adm/login.aspx很容易遭受攻擊者的暴力路徑猜解。

　　信息系統安全漏洞修復加固：

　　咱們對其以上的網站漏洞，進行了全面的安全修復與加固，刪除IAA目錄下的9di5s.ashx木馬後門文件，以及根目錄下的Global.asax文件，並對相應的網站目錄設置了無腳本執行權限，Images js PlugIns sjwskin temp UploadFiles wk wl wwwlogs 這些目錄不容許執行腳本文件，包括aspx,ashx,asp,asa,等腳本文件。 針對於上傳漏洞，咱們限制了上傳目錄的腳本執行權限，即便上傳木馬文件，也沒法執行。對網站的管理員密碼進行了更改，數字+大小寫字母+特殊符號，知足13位密碼，增強了密碼的猜解程度，對網站的默認後臺地址進行更改(只有內部人員知道)，以防止被攻擊者猜解到。

　　至此咱們整理了詳細的信息系統安全等級保護整改報告 ，以及網站安全案事件調查處置狀況記錄單，一併交給客戶，客戶再轉交給北京市公安局海淀分局網監大隊。問題得以圓滿的解決，也由衷的但願你們重視起網絡安全，不容忽視。

　　如何寫信息系統安全等級保護限期整改通知書以及網站安全的防禦措施

　　一、選擇安全、穩定的主機服務器商，選擇好主機服務器商以後，咱們也要時刻查看主機服務器上的其餘網站，看一下他們網站的安全狀況，若是他們網站也被入侵了，咱們也會受到牽連，可能會形成本身網站被攻擊。

　　二、若是本身對程序代碼編程不太瞭解的話，建議找網絡安全公司去修復網站的漏洞，以及寫信息系統安全等級保護限期整改通知書，國內推薦，SINE安全公司、綠盟安全公司、啓明星辰等等的網站安全公司，作深刻的網站安全服務,來保障網站的安全穩定運行，防止網站被掛馬之類的安全問題。

　　三、網站的密碼使用MD5加強加密，以及設置密碼的時候儘量的設置12位以上的密碼，數字+大小寫字符+特殊符號組合。

　　四、按期的更新服務器系統漏統(windows 2008 20十二、linux centos系統)，網站模版漏洞，網站程序漏洞，儘可能不適用第三方的API插件代碼，除此以外，服務器上的殺毒軟件存在的必要性相信我沒必要再敘述了。

　　五、選擇代碼安全的網站系統，目前CMS系統是移動互聯網的主流趨勢(PHP+Mysql數據庫開發)，選擇CMS系統，必定要選擇比較主流的系統，開發商的修復漏洞以及更新補丁速度會很高效，售後也跟的上。