本帖最后由 郭增旺 于 2020-12-25 11:11 编辑
非常无聊的小白工程师
在线瞎写一下下
前言 大家图一乐,看一看得了(下班早无聊写的,反正老板不逛论坛 ) 网络安全本身就是繁琐的过程,网络中没有绝对的安全,我们能做的也只是相对的安全,小白写的网站异常处理过程,各位大佬有请多多指教。
起因 客户网站异常,存在大量后门,并且某度的爬虫爬到的全是黑链,某某云服务平台发送了告警邮件(个人表扬一下),并且没几天客户网站就被强制拒绝访问。
PS:客户网站去年是我友情帮忙从本地迁移到云端的,当时已经发现了有很多问题,但是并没有影响到他们网站的正常访问,所以客户也没有把这个事情放到心上。(大家不要发现问题才想到安全撒)
某云的提示邮件
网站访问提示页面
论证
在发现某某云的报警和封堵后,第一反应肯定是公网去访问域名看看正常否,但是发现每个月域名封锁的页面不一样,有的域名首页直接禁止访问,有的域名则是二级页面禁止访问。(多域名对应同服务器,每个域名封锁的页面不同,可能某某云的扫描机制或者是没有触发后门导致的吧,懒得确认了... ) 公网访问有部分问题直接禁止访问,也不知道是否是黑链,看不到,这个时候发现内网服务器本身访问自己发现所有页面都正常!都正常为什么某某云还封掉网站呢,难道单纯因为后门?.... 某度搜索一下下site:XXXX.COM 出现了某度收录的黑链页面
某度直接搜索域名
某度快照
这个时候感觉确实有点问题了,但是收录是有时间的,这个时候我访问一直正常,为什么还一直是这个页面呢?就去某度爬虫进行爬一下下.. 发现确实不是我官网的信息
纳尼?XX二维码?
看看抓取标题是否正常,明明是个很..的网站,竟然会有Du啵二字
标题抓取
瞎搞处理1.0(依旧访问不了版本) 先干为敬!!! 本次问题处理,以恢复为主,解决为辅... 为什么这么说,因为首先第一任务是帮助客户恢复网站,有关形象问题了撒,其次再进行解决,为什么解决为辅,因为小白的我没办法彻底解决这个问题,如果彻底解决,需要代码进行安全审查。(当然了收到的钞票也是只进行恢复的钞票 ) 目前小白白的我,可能做到的只是帮助客户恢复网站,并且做到相对的安全,后期可能不会再出现这个问题。 PS:以上说的不一定对,但是还是解决了撒 ..
G1:开启一次快乐杀杀杀 服务器软件安全软件搞一搞(要搞就搞后门检测工具譬如xxx,某度一下下..),跑一跑,杀一杀,小白的快乐基础之源嘛!(这里喷一下下xxx) 大概用了三款查杀软件进行查杀,避免漏网之鱼,一不小心70来个后门 .. 随便贴两张图好看
贴图
在线webshell检测
G2:现成安全日志删删删 某云会有自己的安全检测(检测免费表扬),根据某云提供的安全检测日志,访问具体的目录进行删除,如果怕某云提供的不准确,可进行二次验证,二次验证就随便了,用在线shell的检测工具即可,(某度一下吧,就不推荐了,推荐错了要挨骂的,建议验证一次,否则删错了,网站可能某个功能会有影响,误判嘛正常!)
忽略发现时间哈哈
G3:开始快乐小白扫扫扫 网站有什么问题,存在哪些可能被入侵的点,大家可以扫一扫,先解决一部分网站存在的问题,当然了懒得扫也可以去一些安全信息收集网站去搜索一下下这次的网站,会有很多信息(收录的库很全,可能不是很好某度出来),扫出来了,有能力的可以去打打网站不定啥的(我不行..怕挂了) 有漏扫可以用漏扫跑一跑撒,没有可以用某些WEB扫描工具和端口扫描工具扫一扫撒! 譬如可以扫出来某些基础的端口信息、IP信息、DNS信息呀、以及服务器什么类型呀用的什么网站服务呀版本呀等等... 还有部分不安全的可访问到的文件 .. 最基础的一个,感觉经常被扫的robots.txt 网络小蜘蛛(扫描贴图忘了保存)  目前针对扫描来说,我能做到的大概就是改了点点阿怕车某公司的配置( 某度一下)和升级了个PHP版本( 老版本扫描出来了很多漏洞)还有处理了部分经常被扫描的文件。很多漏洞和不规范的目录其实某度一下可以解决( 解决了也不一定安全,但不解决肯定不是很安全),但是因为懒,所以没有处理.. 因为马上就有墙了 ,不怕了 ! 
贴图就是为了好看
.. 依旧访问不了, 某公司的小装备还没上场,但是困了,没写完 .. 再会 
12.23号完全处理完毕,不会在收到任何报警邮件和后门收录,有时间补充撒!
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-12-22 11:41
发表于 2021-1-4 11:47
技术员1级 
