距離2022年元旦約越來(lái)越近,我們發(fā)現(xiàn)很多網(wǎng)站用IIS環(huán)境尤其是aspx+sqlserver架構(gòu)的網(wǎng)站總是被攻擊,具體癥狀首先是接到阿里云的通知說(shuō)是有違規(guī)URL通知,然后過(guò)了幾天發(fā)現(xiàn)百度site網(wǎng)站域名,多了很多與網(wǎng)站本身內(nèi)容不相關(guān)的垃圾快照內(nèi)容,從百度點(diǎn)擊這個(gè)快照地址進(jìn)去后顯示404找不到頁(yè)面,但從百度站長(zhǎng)工具里抓取頁(yè)面就能看到內(nèi)容,說(shuō)明攻擊者對(duì)搜索引擎的UA標(biāo)識(shí)做了判斷進(jìn)行混淆,導(dǎo)致從肉眼看不出任何問(wèn)題,但快照依然在繼續(xù)增加新收錄。
了解完上述過(guò)程,完全是近期多個(gè)客戶遇到此網(wǎng)站被劫持攻擊的癥狀找到我們SINESAFE網(wǎng)站安全公司來(lái)尋求幫助,解決這個(gè)反復(fù)被攻擊以及摸不到頭緒的安全問(wèn)題,那么首先咱們來(lái)分析下為何網(wǎng)站會(huì)被攻擊,因?yàn)榫W(wǎng)站本身的程序代碼存在漏洞,比如上傳漏洞,跨站漏洞,SQL注入漏洞等,以及客戶用的是單獨(dú)服務(wù)器像WIN2008系統(tǒng)或windows2012,2016,2019,環(huán)境基本都是IIS7,8,10,SQLSERVER用的是sql2008 sql2012等,基本很大的因素是服務(wù)器內(nèi)存在多個(gè)網(wǎng)站,都是些asp+aspx+sqlserver的混合架構(gòu),由于網(wǎng)站目錄權(quán)限沒(méi)有劃分好,導(dǎo)致其中一個(gè)網(wǎng)站被入侵,直接牽連服務(wù)器內(nèi)的其他網(wǎng)站,本身ASPX的訪問(wèn)權(quán)限就比較大,加上很多人愿意用SQLSERVER的SA用戶去調(diào)用數(shù)據(jù)庫(kù)的連接,直接給黑客提供了提權(quán)的機(jī)會(huì),提權(quán)就是黑客通過(guò)權(quán)限大的用戶進(jìn)行提升權(quán)限從而拿到服務(wù)器權(quán)限,很多程序員也束手無(wú)策,畢竟專業(yè)的事情專業(yè)干,還得需要我們專業(yè)的網(wǎng)站安全公司來(lái)處理解決,接下來(lái)我會(huì)把整個(gè)處理過(guò)程簡(jiǎn)單描述下,從而讓更多的網(wǎng)站負(fù)責(zé)人了解到網(wǎng)站為何會(huì)被攻擊。
前幾天的一位客戶由于之前就聯(lián)系我們咨詢過(guò)網(wǎng)站被攻擊劫持的問(wèn)題,而客戶覺(jué)得自己的技術(shù)能解決掉,就沒(méi)把這個(gè)安全問(wèn)題當(dāng)回事,以為重做系統(tǒng)就沒(méi)事了,穩(wěn)定了1個(gè)多月后又被攻擊,沒(méi)辦法才讓我們對(duì)網(wǎng)站安全進(jìn)行處理,我們接到客戶的服務(wù)器信息后,登錄服務(wù)器進(jìn)行了檢查,發(fā)現(xiàn)系統(tǒng)用戶被增加了多個(gè)隱藏賬戶,而且網(wǎng)站目錄下有很多隱藏文件,肉眼是看不到的,必須在CMD下顯示所有文件才能看到,通過(guò)我們技術(shù)的查找對(duì)多個(gè)后門進(jìn)行了處理,發(fā)現(xiàn)Dooad.ashx Dowmload.ashx Down.ashx servicer.aspx文件內(nèi)容中被增加了一些上傳功能的代碼:
直接訪問(wèn)是會(huì)顯示404提示,如果是對(duì)文件參數(shù)加上?dir=Dick 就會(huì)出現(xiàn)上傳頁(yè)面,這聰明的手法是真的很溜。那么了解到這些后門木馬后,就要想想黑客是從哪里上傳進(jìn)來(lái)的,通過(guò)我們的人工代碼安全審計(jì),發(fā)現(xiàn)后臺(tái)目錄manage是默認(rèn)的管理后臺(tái)的目錄,存在越權(quán)登錄,添加附件這里存在后綴變量覆蓋,導(dǎo)致直接可以上傳ASPX格式或ashx格式的木馬文件,從而上傳后對(duì)服務(wù)器進(jìn)行了提權(quán),對(duì)網(wǎng)站目錄下增加了global.asa等隱藏文件而且還是刪除不掉的文件。我們立即對(duì)網(wǎng)站目錄進(jìn)行了切換,從而擺脫了刪除不掉的文件,此global.asa就是用來(lái)劫持百度收錄的后門文件。這樣下來(lái)后網(wǎng)站恢復(fù)了正常訪問(wèn),模擬抓取也顯示正常了
然后阿里云違規(guī)url通知那里還得需要去申請(qǐng)解除屏蔽,要不然不申請(qǐng)的話達(dá)到多少條后會(huì)被屏蔽域名,導(dǎo)致網(wǎng)站無(wú)法訪問(wèn),百度站長(zhǎng)工具提交死鏈也得需要網(wǎng)站必須是404狀態(tài)的頁(yè)面才能清除掉這些收錄的惡意快照內(nèi)容。一定要多個(gè)方面去分析問(wèn)題,切不可盲目處理,否則越拖越嚴(yán)重。
