《解决阿里云异常网络连接-可疑WebShell通信行为的提示》由会员分享,可在线阅读,更多相关《解决阿里云异常网络连接-可疑WebShell通信行为的提示(8页珍藏版)》请在装配图网上搜索。
1、精品文档你我共享2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全针对此问题进行了详细的分析,一般被阿里云提示 异常网络连接-可疑WebShell通信行为,还有提示网站后门-发现后门(Webshell)文件,以及提示网站后门-一句话webshell的大部分都是单 独服务器的用户,具体被提示的截图如下:告警名称异帛科SiWWebSh e 11逋信行为 芽差冗洛自妾可疑讥馄bShell通信尸左 网站后-爰现百门(WEbshi e II )文件网站后门9话wet)曲创I畫訓资产iZ2393mzrytZ私iZ2393rrrytZ私iZ2393
2、mzrytZ WWOTW高危高危异帛两j&i-WWebSh el I通信行为异帛趣客自妾可疑Web帥刮通信行为iZ2393mzrytZ黏iZ2393mzrytZ212121212121詔鹿本次I 1B认卷下处理I标记为词8隔离AAAAAA精品文档你我共享AAAAAA精品文档你我共享点开消息后的内容为:受影响资产iZ2393mzrytZ 访问者IPWebshell URL 事件说明云盾检测到有疑似黑客正在通过 Webshell访问该服务器,可能是因为服务器上网站存在 漏洞被植Webshell或者因为已发现的Webshell未及时删除导致黑客入侵。黑客可通过该Webshell 窃取网站核心资料,篡
3、改数据库等危险操作。解决方案建议按照告警中提示URL查找网站对应磁盘文件进行删除,并及时登录安骑士“网站后门控制台,对未隔离的后门文件进行及时隔离,避免更一步损失。看到这些内容后,我们就要对这个问题进行分析,因为这个提示是反复性质的被提示,比如9.26日被提 示2次过了几天又岀现新的 webshell文件位置然后又被提示,首先我们要清楚为何会被提示可疑 webshell通信行为以及网站后门-一句话webshell和发现后门webshell文件,服务器里的网站程序 存在漏洞导致被黑客入侵上传了webshell脚本后门文件。那么什么是网站后门webshell文件呢?webshell文件就是黑客通过
4、网站的漏洞入侵上传了一个脚本文件而这个脚本文件语言有很多种比如 php文件asp文件aspx文件jsp文件,每个网站代码语言中都有,具体webshell的通俗容易理解的意 思就是这个脚本文件有强大的管理功能可以修改和上传网站目录下的所有文件,如果服务器中网站目录权限设置的不当,可以浏览整个服务器里的盘符文件任意修改,具体这个webshell文件到底有多强 大看下截图就知道了,如图:一般这个后门脚本文件的大小在 50KB到150KB之间,具体这个后门webshell文件的代码内容是什 么呢那么我来截图给大家看下:snda_blue_7 5x18 ph p -记爭本丨口 F 回文件(F)惰式(O)
5、直言(叭帮醐H这个加雹的说5值就是登陆密?php SGLOBALS V pass! = * 花関山7也1!39詁2北帥3忑dd北鯛凤呼0曲993d胡乐fun亡二工eat. /*-/-司 * ,e_fun/*-/-*/. cti /*-/-*/. on: SxbyteSfunc/*! 1 ev! /*-/-*/.J alJ /*-/-*/.Jgz /*-/-*/.J in?. flaJ. /*-/-*/ te (baJ. /*/-*/ s.,64. /*/ _de .! co.1 de(Sx) / ):$xbyte/*-/-*/(*7Plpu+LIsSgKf/evwO vUSaqlqSEjqei
6、pbglSTOAghBiiffejRLo.AiiiNSLb/OXgGCxqqrdSvsgTzaS/bgWvovMjl vMiIvcIn/oq6Li7tXeDvaLrjZ/f7YcOTSVr4H21XQEfni32uea4HlCSv5JObiimi4vne04faU6 B41mELZvZbiYq/shAlouAr2W/f)Vp3sr60Esey(isp+ii60iK7vv+08unv375Jav2T9dqPcV3Qg 8APP/292cRQVnHvOonnd/sPG alLi20tidYvYcl2gTXXwtc68vNkz5qJzEGcXtopqhoF8LiBS goauMTdJQzRlsSS.
7、AkCg/QinXAtGtvjTlRfrTABeyRejaLiBrNvqhlqtcVslXqORj/sBHewAd KscvdXP/p4T93rv2Xf7uvfd/HkxZpRpr0aiQZKj4TBwe3TA12fliu7BtDcvJDCxMJhq/Fpzg 7W83oeAjWvJv0bnloh/a6wXJMxfx2M9tgjVjWIWvmoeJs3h2mb2k3G31RFbixzXfliHZ 3Gdccj6pfijbPBeFLjh2WolB0blB6rtjQfCFLKFtjjaUtGosdRkgdIJte6xE2iF47hl2Dojat LoLiMLiV2bWSnq04kOX4wbBqrM
8、Z47Q5W9KDfhXFFGjSoDcbhz2dspje6Kjo6.4.4Zw2RfDPtWOK rDnZRFlATbhUaZK2LXNDxISXekwiswY7UHjdXgP4eQkXJUoBB3PL6dMsfwODghc2kiH&XCdOW E-D;cvZnrLGT3Z8vinr5B9vG476+HWHOvR8aD-/XXn6pbJL95J4PDQSlXiiibxtDtiRKsMs f5umXibY2m6wFh28bAa6X46iiilaGLH/VhBnOZgs6ZnBsdJZj2WhitF6flixMxl5qM0uzoobUHX ZmMLiI5JlXtj0h80X20LniXR4xt2
9、C9pPds41A?XXQEMbdCOXObXJkvEf?ELNnUulV2oCvkzsuzZsK fMtlX20JlsJIGarmgoUHbcEiGZIVlfrJrkajiTcaieoYd9dvtrUEwZEqnikJLtXbJNLGM4S 5uhLEXTxvq6Q9SBOLmduXTbbCT42xwrKpOrOULkOErdHBslovMCmQ 0E9+LesrfqQsShJ/ SWLUJr7zoTLeifaigvGb/01cbqnDrvPobQ/sduarXZpCYJY9ISiiiSlBV97HqsnF7hrRvJQ31G kfyvd4ClDqLiIk3cihzBDqAHJJpK6hzx
10、GwXalhNrc+Jok7znDfiS4gFvYhl+vgVkuxer9i看到上述图片中的功能了吗这就是后门webshell文件,这个可怕性具有多高只有切身体会才会知道 ,网站经常被篡改跳转到其他网站,以及数据被篡改,都是因为网站有漏洞导致被上传了这些脚本后门 webshell 文件。那么什么是网站后门一句话 webshell的呢上面第一个介绍了什么是 webshell文件,大家了解后会对这个一句话 webshell不太理解,那么由我们 sine安全通俗给大家来讲就是用简短的程序后门代码构造成的脚本文件就是一句话webshell文件,具体事例如图:guji.php 记事本文件(F)编辑(E)
11、格式(0)査看(V)帮勛(H)N|代码很简短只有一行所以会被称为一句话 webshell,主要功能就是通过一个post提交参数可以上传 任意文件到网站目录下,而且这个木马利于隐蔽或嵌入到任意程序文件中来混淆,而且特殊隐蔽性质的一句话webshell是无法通过阿里云安全所扫描到而提示的。接下来我们来了解一下可疑 WebShell 通信行为是什么就会通过上述两个问题的分析就会大体知道具体意思了。那么什么是异常网络连接-可疑WebShell通信行为呢?就是通过网站漏洞上传了后门 webshell文件后通过网址形式的访问并且操作了上传或修改文件的这 个通信过程就会被提示为异常网络连接-可疑WebShe
12、ll通信行为。如何解决总被上传后门 webshell文件?1. 对网站进行详细的网站安全检测,以及网站漏洞的检测对网站代码的安全审计,比如对图片上传进行 扩展名的严格过滤以及对图片目录进行脚本权限限制,对生成静态文件权限进行控制只允许生成html 和 htm.2. 网站发布文件内容编辑器的使用一定要先验证管理员权限才能使用编辑器,对网站的后台管理目录千万别用默认的文件名为admi n或gua nli或man age等.3. 服务器安全方面要加强对磁盘目录的权限防止跨目录浏览和修改,以及网站iis进程或apache进程 运行的账户进行单独账户设置出来分别授予权限。4. 网站中要对sql注入攻击进
13、行防范,对提交中的内容进行过滤或转义,对网站管理员的密码进行加强 设置为大小写字母和数字加符号的组合最低12位以上。5. 尽量不要用开源的程序女口 dedecms,meti nfo, WordPress,ecshop,ze ncat,Discuz,phpcms,帝国cms等等如果对程序代码不熟悉的话建议找专业做网站安全公司来处理此问题,国内推荐Sin esafe,绿盟,启明星辰等等6. 单独服务器linux系统和win2008,win2012 系统的服务器安全加固以及网站安全部署都要详细的 进行防护,因为即使网站程序再安全,服务器不安全的话那么照样还是会被牵连,所以说知己知彼才能 百战百胜,希
14、望各位有此问题的朋友多多了解这个问题的严重性以及问题的解决方案。出师表两汉:诸葛亮先帝创业未半而中道崩殂, 今天下三分,益州疲弊,此诚危急存亡之秋也。然侍卫之臣 不懈于内,忠志之士忘身于外者,盖追先帝之殊遇,欲报之于陛下也。诚宜开张圣听,以光 先帝遗德,恢弘志士之气,不宜妄自菲薄,引喻失义,以塞忠谏之路也。宫中府中,俱为一体;陟罚臧否,不宜异同。若有作奸犯科及为忠善者,宜付有司论其 刑赏,以昭陛下平明之理;不宜偏私,使内外异法也。侍中、侍郎郭攸之、费祎、董允等,此皆良实,志虑忠纯,是以先帝简拔以遗陛下:愚 以为宫中之事,事无大小,悉以咨之,然后施行,必能裨补阙漏,有所广益。将军向宠,性行淑均,
15、晓畅军事,试用于昔日,先帝称之曰能”是以众议举宠为督:愚以为营中之事,悉以咨之,必能使行阵和睦,优劣得所。亲贤臣,远小人,此先汉所以兴隆也; 亲小人,远贤臣,此后汉所以倾颓也。 先帝在时, 每与臣论此事,未尝不叹息痛恨于桓、 灵也。侍中、尚书、长史、参军,此悉贞良死节之臣, 愿陛下亲之、信之,则汉室之隆,可计日而待也。臣本布衣,躬耕于南阳,苟全性命于乱世,不求闻达于诸侯。先帝不以臣卑鄙,猥自枉 屈,三顾臣于草庐之中,咨臣以当世之事,由是感激,遂许先帝以驱驰。后值倾覆,受任于 败军之际,奉命于危难之间,尔来二十有一年矣。先帝知臣谨慎,故临崩寄臣以大事也。受命以来,夙夜忧叹,恐托付不效,以伤先帝之 明;故五月渡泸,深入不毛。今南方已定,兵甲已足,当奖率三军,北定中原,庶竭驽钝, 攘除奸凶,兴复汉室,还于旧都。此臣所以报先帝而忠陛下之职分也。至于斟酌损益,进尽 忠言,则攸之、祎、允之任也。愿陛下托臣以讨贼兴复之效,不效,则治臣之罪,以告先帝之灵。若无兴德之言,则责 攸之、祎、允等之慢,以彰其咎;陛下亦宜自谋,以咨诹善道,察纳雅言,深追先帝遗诏。 臣不胜受恩感激。今当远离,临表涕零,不知所言。AAAAAA
解决阿里云异常网络连接-可疑WebShell通信行为的提示
