#原创分享#一次有趣的云端黑站恢复(瞎写一下下)
  

郭增旺 1806

{{ttag.title}}
本帖最后由 郭增旺 于 2020-12-25 11:11 编辑

非常无聊的小白工程师

在线瞎写一下下


前言
  大家图一乐,看一看得了(下班早无聊写的,反正老板不逛论坛
  网络安全本身就是繁琐的过程,网络中没有绝对的安全,我们能做的也只是相对的安全,小白写的网站异常处理过程,各位大佬有请多多指教。

起因
   客户网站异常,存在大量后门,并且某度的爬虫爬到的全是黑链,某某云服务平台发送了告警邮件(个人表扬一下),并且没几天客户网站就被强制拒绝访问。

PS:客户网站去年是我友情帮忙从本地迁移到云端的,当时已经发现了有很多问题,但是并没有影响到他们网站的正常访问,所以客户也没有把这个事情放到心上。(大家不要发现问题才想到安全撒

某云的提示邮件


网站访问提示页面


论证
    在发现某某云的报警和封堵后,第一反应肯定是公网去访问域名看看正常否,但是发现每个月域名封锁的页面不一样,有的域名首页直接禁止访问,有的域名则是二级页面禁止访问。(多域名对应同服务器,每个域名封锁的页面不同,可能某某云的扫描机制或者是没有触发后门导致的吧,懒得确认了...
   公网访问有部分问题直接禁止访问,也不知道是否是黑链,看不到,这个时候发现内网服务器本身访问自己发现所有页面都正常!都正常为什么某某云还封掉网站呢,难道单纯因为后门?....
   某度搜索一下下site:XXXX.COM 出现了某度收录的黑链页面


某度直接搜索域名


   再去看看他的快照是个什么东西..



某度快照

   这个时候感觉确实有点问题了,但是收录是有时间的,这个时候我访问一直正常,为什么还一直是这个页面呢?就去某度爬虫进行爬一下下..  发现确实不是我官网的信息


纳尼?XX二维码?


   看看抓取标题是否正常,明明是个很..的网站,竟然会有Du啵二字


标题抓取


瞎搞处理1.0(依旧访问不了版本)
  先干为敬!!!
  本次问题处理,以恢复为主,解决为辅...  为什么这么说,因为首先第一任务是帮助客户恢复网站,有关形象问题了撒,其次再进行解决,为什么解决为辅,因为小白的我没办法彻底解决这个问题,如果彻底解决,需要代码进行安全审查。(当然了收到的钞票也是只进行恢复的钞票
  目前小白白的我,可能做到的只是帮助客户恢复网站,并且做到相对的安全,后期可能不会再出现这个问题。
  PS:以上说的不一定对,但是还是解决了撒 ..  

G1:开启一次快乐杀杀杀
  服务器软件安全软件搞一搞(要搞就搞后门检测工具譬如xxx,某度一下下..),跑一跑,杀一杀,小白的快乐基础之源嘛!(这里喷一下下xxx
大概用了三款查杀软件进行查杀,避免漏网之鱼,一不小心70来个后门 ..  随便贴两张图好看

贴图



在线webshell检测


  
G2:现成安全日志删删删
   某云会有自己的安全检测检测免费表扬,根据某云提供的安全检测日志,访问具体的目录进行删除,如果怕某云提供的不准确,可进行二次验证,二次验证就随便了,用在线shell的检测工具即可,某度一下吧,就不推荐了,推荐错了要挨骂的,建议验证一次,否则删错了,网站可能某个功能会有影响,误判嘛正常!

忽略发现时间哈哈

G3:开始快乐小白扫扫扫
   网站有什么问题,存在哪些可能被入侵的点,大家可以扫一扫,先解决一部分网站存在的问题,当然了懒得扫也可以去一些安全信息收集网站去搜索一下下这次的网站,会有很多信息(收录的库很全,可能不是很好某度出来),扫出来了,有能力的可以去打打网站不定啥的(我不行..怕挂了
   有漏扫可以用漏扫跑一跑撒,没有可以用某些WEB扫描工具和端口扫描工具扫一扫撒!
譬如可以扫出来某些基础的端口信息、IP信息、DNS信息呀、以及服务器什么类型呀用的什么网站服务呀版本呀等等...  
还有部分不安全的可访问到的文件 ..  最基础的一个,感觉经常被扫的robots.txt网络小蜘蛛(扫描贴图忘了保存
目前针对扫描来说,我能做到的大概就是改了点点阿怕车某公司的配置(某度一下)和升级了个PHP版本(老版本扫描出来了很多漏洞)还有处理了部分经常被扫描的文件。很多漏洞和不规范的目录其实某度一下可以解决(解决了也不一定安全,但不解决肯定不是很安全),但是因为懒,所以没有处理.. 因为马上就有墙了 ,不怕了 !

贴图就是为了好看



..  依旧访问不了,某公司的小装备还没上场,但是困了,没写完 .. 再会  

12.23号完全处理完毕,不会在收到任何报警邮件和后门收录,有时间补充撒!





打赏鼓励作者,期待更多好文!

打赏
1人已打赏

ie5000 发表于 2021-3-23 10:25
  
感谢楼主分享,十分详细
Sangfor_闪电回_朱丽 发表于 2021-1-4 11:47
  
内容一气呵成,感谢楼主带来的分享!
在线等下一篇精彩内容(某公司小装备上场了吗?最终是如何恢复的?)
蟲爺 发表于 2020-12-23 21:37
  
条理清晰,思路清楚。其实习惯性地定期备份网站程序和数据库的话,可以将损失降到最低。每次更新了之后随手加条备份,这样有问题了直接挑最新的备份恢复覆盖就好了,懒人方法,仅作参考。
司马缸砸了光 发表于 2020-12-22 12:22
  
太优秀了。
JM 发表于 2020-12-22 11:41
  
感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
每日一问
干货满满
新版本体验
产品连连看
GIF动图学习
技术咨询
2023技术争霸赛专题
功能体验
通用技术
秒懂零信任
安装部署配置
原创分享
技术晨报
自助服务平台操作指引
每周精选
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

461
247
13

发帖

粉丝

关注

本版达人

feeling

本周分享达人

新手29676...

本周提问达人