7. 官网存在SQL注入漏洞致网页被篡改
事件概述
某日,急响应团队接到某教育机构应急响应求助,教育机构官网遭到恶意篡改,部分页面自动跳转至违法网站,希望进行分析排查溯源。
应急响应人员抵达现场后,通过了解现场网络架构及应用部署情况,对受害页面以及Web应用文件进行排查,发现网站目录中存在已被利用的Webshell文件,创建时间为事发前一晚23点,应急人员通过测试,发现网站后台图片上传处存在任意文件上传漏洞。通过提取网站Web应用日志进行分析,发现在事发前一天下午3点,有境外IP(x.x.x.119)对网站A发起SQL注入攻击,并成功获取到了网站后台管理员账号及密码。
经过一系列排查分析,应急人员成功溯源攻击途径,攻击者(x.x.x.119)在事发前一天下午3点发现网站A存在SQL注入漏洞,并对其进行利用,成功获取网站后台管理员账号及密码。事发前一晚23点,攻击者假冒管理员身份登录后台,发现后台页面存在任意文件上传漏洞,利用该漏洞成功上传Webshell文件。事发当天,攻击者利用已上传的Webshell对网站源代码进行修改,将网站部分页面跳转至违法页面。
防护建议
- 建议部署网页防篡改设备,对网站文件、目录进行保护,拦截黑客的篡改操作,实时监控受保护的文件和目录,发现文件被篡改时,立即获取备份的合法文件并进行文件还原
- 对服务器开展安全大检查,包括但不限于恶意IP封禁、恶意文件以及后门清理、网站漏洞检测及修复等
- 加强日常安全巡检工作,定期对系统配置、网络设备配置、安全日志以及安全策略落实情况进行检查,定期安装补丁、更新病毒库,常态化信息安全工作
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵
- 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据