很多公司的網站被攻擊,導緻網站打開跳轉到别的網站上去,網站快照也被篡改,收錄一些非法的内容快照,有些網站資料庫都被篡改,修改了會員資料,資料庫被删除,等等攻擊症狀,我們SINE安全在解決客戶網站被攻擊的問題,發現都是由于網站存在漏洞導緻的,攻擊者利用網站的漏洞對網站進行攻擊,上傳webshell檔案,進而對網站進行篡改。
那麼該如何查找網站目前存在的漏洞?并對其修複防止網站被攻擊呢?我們SINE安全在對其他客戶網站進行攻擊處理的時候總結了以下一些常見的網站漏洞:
首先大部分的網站都是使用的開源系統,像織夢,discuz,wordpress系統都是比較常見的,有些公司網站使用的是單獨的伺服器,像linux centos系統,目前使用的很多,并使用的寶塔面闆來對網站的環境,資料庫進行安裝。預設情況下有些軟體是存在漏洞的,我們總結了一下Redis跟Memcached環境導緻的未授權遠端通路漏洞的查找與修複辦法.
redis是目前用的較多的一個資料庫,也是關系型資料庫的一種,預設安裝的時候端口會設定為6379端口,并開放公網通路,導緻資料庫的服務端口暴露在外面,預設配置檔案沒有開啟安全限制,導緻任意使用者都可以通路redis的服務端口,并讀取redis的配置資料,攻擊者可以使用該漏洞對伺服器的系統目錄進行寫入檔案,可以直接擷取伺服器的系統權限,通過SSH端口私鑰登入。安全風險極高,可以導緻網站被攻擊,被入侵。
redis未授權通路漏洞的修複辦法,修改redis配置檔案redis.conf,在檔案代碼裡找到requirepass值,預設為空的密碼,對其進行增加密碼,寫入一個字母加數字加大小寫的組合,使redis遠端連接配接的時候需要密碼驗證才能通路.也可以對預設的6379端口進行端口安全限制,限制IP遠端連接配接,隻允許内網進行連接配接,這樣很大程度上可以防止網站被攻擊。
還有一個是Memcached漏洞的查找,該軟體也是預設安裝到伺服器裡的,Memcached是高速緩存的系統,可以将緩存的資料寫入到伺服器記憶體裡,一些經常用的資料,比如經常對資料庫進行查詢,寫入,就可以使用這個緩存系統對其進行緩存到記憶體裡,加快資料的讀取速度與查詢速度,該網站漏洞的查找也是端口的形式,預設安裝的是11211端口,用nmap對網站端口進行掃描,檢視是否開啟11211端口,連接配接得到這個端口,就說明漏洞存在,可以使用任意的賬号無需密碼可以對Memcached進行通路,直接寫入webshell到網站的根目錄下,對網站進行攻擊操作。
Memcached漏洞修複方案是使用阿裡雲的端口安全組,對11211端口進行攔截,防止外網IP對其進行通路,對Memcached的配置檔案進行修改,增加密碼驗證通路。
網站被攻擊,大部分都是由于漏洞導緻的,以上2個漏洞是我們SINE安全在給客戶網站處理攻擊的時候發現都存在的漏洞,還有一些網站代碼的漏洞像dedecms,phpcms,建站之星等等代碼的漏洞我們下一篇文章會繼續跟大家分享,隻有網站安全了才能給網站帶來長久穩定的利益,也希望更多的網站營運者重視網站的安全維護與防護。