距離2022年元旦約越來越近,我們發現很多網站用IIS環境尤其是aspx+sqlserver架構的網站總是被攻擊,具體症狀首先是接到阿裡雲的通知說是有違規URL通知,然後過了幾天發現百度site網站域名,多了很多與網站本身内容不相關的垃圾快照内容,攻擊從百度點選這個快照位址進去後顯示404找不到頁面,但從百度站長工具裡抓取頁面就能看到内容,說明攻擊者對搜尋引擎的UA辨別做了判斷進行混淆,導緻從肉眼看不出任何問題,但快照依然在繼續增加新收錄。
了解完上述過程,完全是近期多個客戶遇到此網站被劫持攻擊的症狀找到我們SINESAFE網站安全公司來尋求幫助,解決這個反複被攻擊以及摸不到頭緒的安全問題,那麼首先咱們來分析下為何網站會被攻擊,因為網站本身的程式代碼存在漏洞,比如上傳漏洞,跨站漏洞,SQL注入漏洞等,以及客戶用的是單獨伺服器像WIN2008系統或Windows2012,2016,2019,環境基本都是IIS7,8,10,SQLSERVER用的是sql2008 sql2012等,基本很大的因素是伺服器記憶體在多個網站,都是些asp+aspx+sqlserver的混合架構,由于網站目錄權限沒有劃分好,導緻其中一個網站被入侵,直接牽連伺服器内的其他網站,本身ASPX的通路權限就比較大,加上很多人願意用SQLSERVER的SA使用者去調用資料庫的連接配接,直接給黑客提供了提權的機會,提權就是黑客通過權限大的使用者進行提升權限進而拿到伺服器權限,很多程式員也束手無策,畢竟專業的事情專業幹,還得需要我們專業的網站安全公司來處了解決,接下來我會把整個處理過程簡單描述下,進而讓更多的網站負責人了解到網站為何會被攻擊。
前幾天的一位客戶由于之前就聯系我們咨詢過網站被攻擊劫持的問題,而客戶覺得自己的技術能解決掉,就沒把這個安全問題當回事,以為重做系統就沒事了,穩定了1個多月後又被攻擊,沒辦法才讓我們對網站安全進行處理,我們接到客戶的伺服器資訊後,登入伺服器進行了檢查,發現系統使用者被增加了多個隐藏賬戶,而且網站目錄下有很多隐藏檔案,肉眼是看不到的,必須在CMD下顯示所有檔案才能看到,通過我們技術的查找對多個後門進行了處理,發現Dooad.ashx Dowmload.ashx Down.ashx servicer.aspx檔案内容中被增加了一些上傳功能的代碼:
直接通路是會顯示404提示,如果是對檔案參數加上?dir=Dick 就會出現上傳頁面,這聰明的手法是真的很溜。那麼了解到這些後門木馬後,就要想想黑客是從哪裡上傳進來的,通過我們的人工代碼安全審計,發現背景目錄manage是預設的管理背景的目錄,存在越權登入,添加附件這裡存在字尾變量覆寫,導緻直接可以上傳ASPX格式或ashx格式的木馬檔案,進而上傳後對伺服器進行了提權,對網站目錄下增加了global.asa等隐藏檔案而且還是删除不掉的檔案。我們立即對網站目錄進行了切換,進而擺脫了删除不掉的檔案,此global.asa就是用來劫持百度收錄的後門檔案。這樣下來後網站恢複了正常通路,模拟抓取也顯示正常了
然後阿裡雲違規url通知那裡還得需要去申請解除屏蔽,要不然不申請的話達到多少條後會被屏蔽域名,導緻網站無法通路,百度站長工具送出死鍊也得需要網站必須是404狀态的頁面才能清除掉這些收錄的惡意快照内容。一定要多個方面去分析問題,切不可盲目處理,否則越拖越嚴重。