3. 网站后台程序漏洞致网站被植入黑链
事件概述
某日,安服团队接到某大学信息中心的网站安全应急响应请求,其官网上出现大量黑链、赌博、游戏外挂等违规关键词。
应急响应人员到达现场后,对网站服务器文件、服务器账号、网络连接、进程信息、服务信息、日志信息等多方面进行分析,发现文件中包含大量aspx木马及gif图片伪装成木马,发现存在多个无效账号,以及向外连接的可疑IP地址。
经过分析排查发现,本次事件中所使用的黑链手法为黑产行业惯用手法,利用搜索引擎对大学院校网站发表内容收录快、排名高等优势,利用网站后台程序漏洞对网站进行攻击,上传webshell木马文件至服务器,获取网站管理权限并篡改服务器原有文件,插入黑链恶意脚本,达到控制搜索引擎网页访问跳转,实现搜索引擎"黑帽SEO"。在获取权限后克隆服务器管理员账号以达到长期控制服务器的目的。
防护建议
- 建议部署操作系统及相关应用并生成快照,进一步落实口令管理
- 建议使用独立的、随机生成的满足强度要求的口令,严禁使用弱口令、统一口令管理服务器,及时销毁临时、测试账户
- 修改后台管理员密码为复杂密码,修改后台管理目录为复杂路径防止被攻击者猜到,禁用或删除后台模板功能
- 服务器运行环境部署需要进行加固处理,关注各个应用系统所使用程序、组件、第三方插件等安全现状,及时更新相应的补丁版本
- 加强对敏感服务器、配置文件、目录的访问控制,以免敏感配置信息泄露;加强信息系统安全配置检查工作