1. 聚能聊>
  2. 话题详情

中小站长们,一起来聊聊如何避免被挂马的尴尬?

所谓挂马,就是黑客通过各种手段,包括SQL注入、网站敏感文件扫描,服务器漏洞、网站程序0day漏洞等各种方法获得网站管理员账号,进而获得修改网站页面的内容的权限,向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP,然后直接对网站页面直接进行修改。

在一些中小型网站开发过程中,企业或开发者为了降低成本,采用常见的开源系统来搭建,或者未经过严格的安全测试,导致出现漏洞,也给了黑客挂违法违禁页面(赌博、色情、涉枪等)的机会。如下:

_

网站页面中被植入恶意代码后,会产生极大的危害,可能会自动发布大量违规内容、窃取网站访客的账号密码、下载木马病毒到访客的电脑等等。

《网络安全法》即将在6月1日实施,法规第四十六条和第四十七条明确规定“不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息”,“发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息”,如违反规定,将停业整顿甚至对直接负责的主管人员和其他直接责任人员处罚。

那么中小企业或开发者应该如何防范网站上的违法违禁信息?

·网站被挂马后应该怎么办?

·如何防止被二次挂马?

欢迎大家一起来探讨!

【推荐课程】深入了解互联网内容安全及防护:https://yq.aliyun.com/promotion/168

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    聆听专属T恤衫 x 2

  • 奖品二

    技术书籍 x 2

111个回答

2

似水的流年 已获得技术书籍 复制链接去分享

前端时间我的php服务器被人入侵,刚开始不知道被入侵,只发现我的文件夹里多了些文件,并没有怀疑,过了几天我看到任务管理器的进程里多了些进程,就想起前几天多的那些文件,我把它拷出来到虚拟机中运行,发现是打站的肉鸡软件。我根据攻击者留下来的文件发现了他的ftp,账号密码竟然是123,然后我也进了他的ftp......
如果自己的网站被挂马了,最好查看网站日志,查看文件修改记录,恢复网站文件。如果有条件的,可以每天做一个服务器备份,恢复起来快一些。
预防被挂马(预防才是根本,如果等被挂马了一段时间,问题就不单单只是删除木马,修补漏洞了)要频繁的注意自己网站的收录页面是否是自己网站页面,反链,友链是否正常,当然一定要及时修补网站的漏洞。装一些安全软件,修补漏洞,才能远离黑客的入侵。

聚小编 回复

高手也会被入侵啊...

似水的流年 回复

道高一尺 魔高一丈😂

sweet_ld 回复

说的好,事情预防才是根本

tujiu25 回复

你好 互相一下 微信号可以加下么

风边 回复

事前防护的成本是最小的,预防才是王道!

浮生递归 回复

进了他FTP后,都干了些什么呢……

ap1253j8y 回复

同问

放松 回复

我的网站被屏蔽了。怎么解除

评论
2

寒喵 已获得聆听专属T恤衫 复制链接去分享

1.设定自动按天备份 (这玩意才是硬道理)
2.及时升级站点程序修补提权,注入漏洞(最容易出漏洞的就是wp)
3.使用cdn等加速防护,js,css等缓存cdn (具体效果不明 笑)
4.阿里云云盾设置好可以有效通过邮件,短信提醒站点异常等可能性(据说绿网也可以)
5.站点和数据库分离,ECS与RDS分离使用能有效减轻事故负担
6.寻找安全运维人员对站点进行梳理,提前将漏洞堵死(像我这种小站长是没钱请的 233)

云栖技术 回复

舅服你

风边 回复

开启绿网后,可以为您的网站提供内容相关的安全检测。

沉默猪小弟 回复

墙都不扶舅服你。然而没什么卵用。
有些中间件的漏洞需要及时跟踪的

评论
3

我的中国 已获得聆听专属T恤衫 复制链接去分享

楼上回答的不错我补充几点。
QQ_20170308154747
第一点我们的网站系统不要选择2003,这个系统基本一扫一大片的漏洞,除非你的技术员很了解。
第二点系统的环境以及配置,权限的开放,例如数据库弱口令,列目录等不该发生的要杜绝。其次是关注漏洞的更新修复。
第三点系统代码的选择与开发,大多小站点使用网络上的代码,注意下载官方的并且也要在本地查毒一下,网页查毒也一样,必须的,有的官方代码都被写入挂马脚本之类的。不愿意删除代码的可以把后台地址改改也行,我们的程序尽量选择使用人群多,这种更新及时,付费的也不错。自己开发的把权限尽量设置死吧,编辑器以及后台随时上次删除着使用最安全,能静态页面就静态页面,。
第四点安装个网页杀毒的软件,防火墙。
第五点服务器上不要当成测试的虚拟机,乱安装,还有就是小白安装的控制面板那种软件,注意设置的权限和数据库的密码是否更改,不然整个服务器就拿下了。
QQ_20170308154755
第六点社工,你的whois被人搞出来就GG了,能锁上还是尽量锁上。
第七点内部人员的不当操作造成被感染
第八点用虚拟主机的,也就是共享的被攻克几率很大,有种攻击叫旁站,这是什么鬼自己搜索,选择值得信赖的服务商是必备的,可能会贵点但是后期真心省时间和精力,这个必须要记得。
大家可以在我下面补充,看看漏掉什么没

我的中国 回复

对了,阿里云的短信提醒开启一下,这个很不错,异地登录各种提醒,马上APP登录管理一样踢掉黑黑

风边 回复

赞!!都是宝贵经验

评论
1

szm. 已获得技术书籍 复制链接去分享

我自己搭建过小的站点,并且被攻击过,当然没有仔细关注,但是也有一定的了解。
首先,防火墙!这点很重要,一些人为了方便,将防火墙直接关闭点,或者开放了很多端口备用,其实这很危险,你为自己留下了便利的同时,也是给被人创造方便。
其次,操作系统补丁!很多人买完主机以后,从来不打补丁,这其实很危险,毕竟黑客可以通过这些漏洞进行入侵。
第三,运行环境!各种运行环境可以说版本已经非常多了,有些人为了自己的程序更稳定的运行,选择了一些老旧版本的运行环境,导致存在很多的漏洞,并且为了自己的开发方便,debug模式忘记关闭,都是在给黑客创造便利的条件。
第四,程序!不要对自己的程序太过自信,xss,SQL注入,异常信息处理,文件上传,这些分分钟把你的站点拿下。
第五,经常改密码!密码作为自己服务器的钥匙,一定要保管好,切记定时更换。
最后,记住密码看个人情况了,别服务器很安全,自己的电脑不堪一击,这样会很尴尬的😂
祝愿大家的服务器都长长久久的稳定运行,各位的站点红红火火

3

沉默的猪 复制链接去分享

大家说的都不错,我补充几点吧。
1.做好主机安全基线配置,这样能够避免来自操作系统的漏洞隐患。
screenshot
2.网络端口只开放业务端口,维护端口一定要针对特定源IP开放。没有硬件防火墙可以使用系统自带防火墙比如iptables等。
screenshot
3.多关注安全行业动态,及时更新中间件漏洞补丁,同时中间件避免使用root权限,特别值得注意的是IIS、ngnix、Apache部分版本解析漏洞极容易被利用来挂马,struts 能不用就不用。。。
screenshot
4.定期使用wvs等工具扫描应用,提前发现sql注入,跨站等漏洞。
screenshot
5.应用避免使用弱口令,同时强化验证码防止验证码绕过漏洞。
screenshot
6.加强代码审计,防止文件上传漏洞被利用导致被挂马。
整改前
screenshot
整改后
screenshot
7.挂马不可怕,最重要的是数据文件。一定要定期异机备份数据,切记,切记!
8.我喜欢阿里云纪念版T恤。。。

沉默猪小弟 回复

补充一点,防火强开双向白名单,避免被反弹

评论
2

专属melody 复制链接去分享

阿里绿网作为一款内容安全识别产品,其中对于站点中出现的违规文本和图片信息(如:色情、暴恐敏感、广告等)可以做到实时识别。
用户可以通过两种方式接入绿网:

  1. 使用阿里云ecs的用户,开通阿里绿网后,站点检测功能会默认在后台帮助用户检测其站点中的网页是否有疑似违规信息,并通知用户进行整改;
  2. 用户也可自行调用绿网提供的各项接口服务,主动检查并识别自身站点的违规信息。

传送门:https://www.aliyun.com/product/lvwang

zydjyn4046 回复

阿里绿网之前用着一直很不错,就是最近经常给我报违规提示,有点烦。

bluestoner 回复

阿里绿网的服务还是挺不错的,背靠大厂,有保障

专属melody 回复

您好,您可以进入绿网控制台中通过快照具体查看一下疑似违规信息是什么。我个人的经验是,若短时间内频繁出现疑似违规信息的现象时,极有可能是您的站点网页已经被挂马了。

评论
2

1900421331745031 复制链接去分享

避免挂马的话,首先前期写代码的时候一定做到严谨,严谨再严谨。毕竟没有不漏风的墙,在开站以后查看首页代码有多少行,现在浏览器查看源文件都是可以的,毕竟网站要更新文章的,但是差别基本不会有。
另外就是借助一些别的安全软件或者设备了。
防不胜防,道高一尺魔高一丈。多点细心,多点注意!

聚小编 回复

在开站以后查看首页代码有多少行

这句不太懂,是说记下有多少行,如果多了就是被挂马了么?

sweet_ld 回复

会有这种情况,首页的访问量最大,对首页做个篡改,嵌个js或者ifame,width height都为0,访问时基本是无感知的

评论
3

cvs 复制链接去分享

希望任何拥有写代码能力的人进行一个自我约束,提高自我素质并不是偷窥进行一个虚荣心的提升,而是去保证我们一个安全、可靠的网络共享环境

3

第七科 复制链接去分享

挂马后打开被挂马也没清除挂马信息,注意不光清除这些信息,同时注意该页面是否被写入其他XX,比如后门等,一般我们的JS CSS PHP ASP CER JPG等等都可以被挂马,具体看系统等情况决定,这里不过多的讨论,我们在发现清除后如果不放心最好安装个狗啥的,对于小白还是管用的虽然仍旧可以过狗。第二点就是开发的环境以及使用的代码,实在不懂的把你的后台每次编辑完就download然后删除远程的,记得把编辑器的也一块弄下来;我们的网页可以生成个静态的页面html也是可以大批量防止该问题的发生。

0

smile的微笑 复制链接去分享

说到漏洞这个,如何防范呢,虽然每次写之前总是觉得考虑好全面了,等实际测试还是会有很多问题,显性漏洞修好了,隐性漏洞怎么处理,怎么去发现呢?

sweet_ld 回复

安全是成本问题也是概率问题,显性漏洞修复好,可以降低入侵概率,至于隐性逻辑漏洞类,可以通过渗透测试来验证

芝麻创意 回复

怎么进行渗透测试呀

评论
1

keller.zhou 复制链接去分享

 记得阿里的解决方法:

  1.删除黑链:大部分网站都是用的CMS系统做的,删除黑链的时候要注意要在模板中删除,否则网站声称静态的时候,黑链仍然会出现。
  2.修改后台账号密码:一般来说账号和密码只要有一个比较复杂的就行了,当然也可以同时修改。设置建议:不要用纯数字和字母,用字母大小写+数字+特殊符号是最安全的。
  3.如果是CMS系统做的网站,要坚持在第一时间更新后台程序,可以最大程度的保障网站不会因网站漏洞被攻击。
  4.安全联盟站长平台检测:网址http://zhanzhang.anquan.org/这个平台检测很具有权威性,而且被挂马网站被百度或者其他搜索引擎标示为“风险”网站的时候必须到这里才能解封。
  5.和空间服务商联系,彻底删除木马文件,防止被反复攻击。
  如果是VPS或者独立服务器的话就要自己找出木马文件了。
这个文件是我处理VPS挂马过程中找到的木马文件源,木马文件有很多种,这只是其中一种。木马文件识别方法:一般来说,木马文件都会被放置在比较浅的目录,也比较容易发现。1.看扩展名。木马文件的一般都是脚本语言如asp,php等,如果你的网站是用php语言写的,网站目录下除了以扩展名php,html.htm.txt等文件外,就不应该有其他文件类型存在。若存在就可能是木马。2.看名称:如上图所示,网站木马文件的名字比较特殊,懂一点编程的人基本上一眼就能看出来。3.排除法:如果实在无法分辨木马文件,还可以用最笨的方法排除法。上面我也说过了,木马文件一般都会放在目录比较浅的路径,找起来也相对轻松。用地毯式寻找方法对于新手来说还是很管用的。具体做法:从网站根目录依次用记事本打开罗扩展名为asp.php.html和txt的文件,文本中出现“挂马”、“探测”、“命令”等词语时就可以立即判断为木马文件。有什么好书呀?

聚小编 回复

聊主说得好详细~顶!

评论
1

whosoft 复制链接去分享

一般企业网站,都是做好之后没有技术支持,不管死活、自生自灭,所以这种情况,只好花点小钱,请技术人员处理喽。。

sweet_ld 回复

及时做好备份,如果出问题,可以备份顶上。

评论
1

洵云 复制链接去分享

好像阿里的云盾会起到一些检测功能吧;

潜江晃晃 回复

😓

评论
1

mazerain 复制链接去分享

挂马的尴尬?以前用虚拟机,服务器都曾经尴尬过,先讲一讲自己的“血泪史”吧!

血泪史
以前最开始都是用虚拟机,一被挂马或作为肉鸡,服务商就把网站停了,然后就是和客服交涉,修改或恢复,再把网站给开通。现在我的电脑里还有当时的那些木马程序,发出来让大家欣赏下。
QQ_20170313150319
拼的不太好,大家见笑了
被挂过马的,我想应该对这些代码还是比较熟悉,还有就是被挂黑链,生成色。情。赌.场之类的页面程序。更是防不胜防,一次去搜索引擎SITE自己网站时发现收录增加了N多,仔细一看才发现都是赌.场之类的信息(当时还想,这才是专业的黑帽)。
还有一次遇到域名管理因为以前CSDN之类的网站被脱“裤”,密码泄漏,被人直接来了个泛解析,这个许多人应该还遇到过。

血泪讲完了就说一下改进吧。
进化史
从自己开始管理服务器开始,就开始慢慢学习一些增加服务器网站安全的方法。
一、网站权限的设置。这是最基本的,大家一般用的都是开源CMS,而这些CMS都有手册,要求哪个文件夹只读,哪个文件夹不可执行等等,这一步就可以把一些所谓用工具的“黑客”给档到门外。这里要说一点,不要聪明反被聪明误,我曾经遇到过一个程序员把自己的后台路径写到Robots里面,本来许多低水平的用一些漏洞可能猜解出你的帐号和密码,你还把门牌号给了别人。
二、服务器安全设置。Windows服务器的端口问题,防火墙等,所以这里建议用一些第三方软件来管理这些,经常过一段时间给网站做个备份,扫描一下黑链木马什么的。
三、网站环境安全。.net,PHP,JSP的运行版本更新;数据库不要打开外网链接以及密码不能太简单;运行环境(Apache,Nginx)配置问题,不能用开发环境的配置。
四、个人信息安全。不要被社攻了。

总结:基本能想到的就这些了,有些时候只能做到尽力,就像如果你用虚拟主机,可能你控制不了太多的东西,CMS的漏洞发现和修复也不是你一个人可以完成的。所幸的是真正的高手可能还没把我们放在眼里(自我安慰),所以做好一些基础的东西你可以安全很多了。

安利:虚拟主机现在也不便宜,所以还不如阿里云最便宜的主机哦。阿里云还有云盾等花银子的服务,有钱的可以上啊。

问题:服务器的更新(主要是说Windows)要不要?我听许多人说更新会出问题。

1

bearyes 复制链接去分享

隐患险于明火,防范胜于救灾
账号避免使用弱口令,一定要设置密码周期,定期修改
漏洞扫描、检查、备份 这些工作虽然繁琐 但很有必要

0

蹦迪的猫 复制链接去分享

最好就是直接页面,不用后台,需要更新,本地更新好再上传到互联网,那么,就不造成后台被黑的可能,也没有数据库……😏😏😏😏

sweet_ld 回复

静态网页,可以的

评论
0

1940389170459416 复制链接去分享

提升密码安全,不要随意点链接

sweet_ld 回复

作为管理员,这点是必要的安全意识

评论
1

1506088542739175 复制链接去分享

网站被挂马后的必须要做的4件事:
1、改网站后台地址;
2、改网站后台管理用户和密码;
3、改FTP或者远程登录密码,尽量在自己能记住的范围内设置得长一些;
4、成功解决完网站被挂马的问题后,一定要去相应的投诉平台申诉一下(如百度投诉、安全联盟等),好让他们知道你已经处理完这些。

0

落. 复制链接去分享

服务器只开了两个端口
一个80
还有一个FTP ,不过端口号被我改到了5位的口上了
Js、css、jpg等静态文件全部放在oss上。
后台密码,弄了20位。
在网站搭建好后,创建一个初始镜像,备份。
开启自动快照,8小时一次。
个人小站长,也不是什么大牛,能做的似乎也就这么多。
要是这样也能被黑,那也是也没有办法~

指头帮 回复

ftp还可以去掉,用ssh工具实现类似功能

评论
1

ap1253j8y 复制链接去分享

个人感觉找比较成熟的网站系统,相应的更新及时更新,再依赖云盾或者免费的服务器安全狗 web安全狗之类的基本可以避免一大半,当然没有绝对的安全,网站成规模以后还应该注意管理账号的控制及服务器的定期异常文件检查。

6