湖北國(guó)菱網(wǎng)絡(luò)安全小組緊急處理荊州某集團(tuán)網(wǎng)站被入侵事件

來源：荊州松滋網(wǎng)絡(luò)安全 時(shí)間：2017-04-19

2017年4月15日，湖北國(guó)菱網(wǎng)絡(luò)安全小組接到荊州某集團(tuán)網(wǎng)站服務(wù)器被入侵通知，荊州網(wǎng)監(jiān)檢測(cè)到網(wǎng)站有掛馬的現(xiàn)象，被責(zé)令關(guān)閉。事情緊急，公司網(wǎng)絡(luò)安全小組全體人員展開了調(diào)查分析，綜合荊州某集團(tuán)工作人員描述，迅速?gòu)募夹g(shù)層面總結(jié)出事件始末，進(jìn)行了緊急處理，現(xiàn)網(wǎng)站已全面恢復(fù)上線。

事情處理經(jīng)過：

首先，查清楚黑客入侵方法，經(jīng)過湖北國(guó)菱網(wǎng)絡(luò)安全團(tuán)隊(duì)十余小時(shí)的觀察與分析，分析整個(gè)網(wǎng)站域名下的子域名和服務(wù)器集群，鎖定重點(diǎn)目標(biāo)，鎖定外網(wǎng)ip，內(nèi)網(wǎng)服務(wù)器木馬源頭。入侵者通過網(wǎng)站服務(wù)器利用sql注入漏洞入侵網(wǎng)站，隨后上傳了多個(gè)PHP腳本木馬，如下圖，紅色框內(nèi)為木馬文件。

鑒于以上情況，湖北國(guó)菱網(wǎng)絡(luò)安全團(tuán)隊(duì)結(jié)合以往經(jīng)驗(yàn)以及該單位服務(wù)器群實(shí)際情況，采取了以下處理措施：

1.查看服務(wù)器日志，分析入侵手段，對(duì)服務(wù)器進(jìn)行SQL過濾，封堵SQL注入漏洞；

2.對(duì)服務(wù)器文件進(jìn)行實(shí)時(shí)監(jiān)控，生成日志；

3.對(duì)所有網(wǎng)站進(jìn)行漏洞掃描排查，經(jīng)檢查無異常；

4.對(duì)所有網(wǎng)站進(jìn)行恢復(fù)上線。

整改方案：

1.將網(wǎng)站主域名下的子域名全部登記備案，子域名所運(yùn)行的網(wǎng)站程序無論是否在本機(jī)房，均必須按照嚴(yán)格標(biāo)準(zhǔn)審核后再上線，以免給主域名造成負(fù)面影響；

2.重申并認(rèn)證觀測(cè)，所有技術(shù)操作人員在網(wǎng)站根目錄下禁止存放與網(wǎng)站本身運(yùn)行無關(guān)的其他文件（包括附件）；

3.講我們一周一次的掃描檢測(cè)升級(jí)為一天一次，形成報(bào)告，發(fā)現(xiàn)異常，短信通知相關(guān)人員；

4.加強(qiáng)所有后臺(tái)服務(wù)器密碼權(quán)限管理，密碼更換等。