网站被黑后的处理方法以及安全加固建议
一、如您的网站还是 .net2.0系列版本,网站被恶意注入数据请参考以下方式来处理。
1、服务器端安装D盾,解压后双击D_Safe_Manage.exe打开软件,在进程中找到w3wp.exe,下方会显示对应的模块;
2、 找到C:\Windows\System32\inetsrv相关的、公司信息和说明都为空的DLL文件,记住文件名,例如:iiscgi.dll、httpcgi.dll、w3dtp.dll、custlog.dll(目前发现的几种存在问题的文件名);
3、打开C:\Windows\System32\inetsrv\config\applicationHost.config;可以先复制备份一下;CTRL+F搜索“iiscgi”,找到后删除<add>这一整行,然后搜索前面的name“HttpCgiModule”,找到并删除<add>整行;保存;
4、全面检查网站和服务器端是否留有后门文件。
a.使用D盾扫描网站程序文件,着重分析‘说明’中的“已知后门文件”、“多功能马”等带颜色标记的文件
b.使用360安全卫士扫描全盘,可以识别病毒类型的dll文件;
c.使用Beyond Compare 对比公版程序包,手动分析是否存在异常文件。
如何快速查找出网站木马或异常文件
二、在清理完上述木马或异常文件后,务必备份网站和数据库,然后重装操作系统,以防黑客在C盘文件中留下了后门文件,无法人工判断。然后重新搭建IIS环境和网站,具体请参考《动易安全部署手册》。
三、重装操作系统并部署网站后,请务必参考以下步骤来对网站进行安全加固。
1、网站及时更新升级到最新版本或及时打上漏洞补丁。
2、清理后台管理员账户,删除所有不是您主动添加的管理员账户,删除所有不必要的、不再使用的管理员账户。特别是锁定的管理员账户,若不再使用,请务必删除!如果因特殊原因不能删除的,请务必修改其密码,改成非常复杂的密码(20位长度大小写英文、数字、符号混合),防止黑客利用SQL注入漏洞将“锁定状态且密码简单”的管理员解锁并提权为超级管理员后进入后台;同时注意清理长期未登录的会员中心帐号。
3、通知所有管理员修改密码,不要使用常见密码(比如 1qaz2wsx、!QAZ@WSX、qaz!@#、admin*888等这种看起来很复杂但实际上是非常常见的密码)。不要使用与其他系统一样的密码,不要使用在其他互联网平台上用过的密码。
4、务必要将后台的管理认证码改成复杂的不容易猜到的字符串。以给后台多一道锁。这样就算网站有SQL注入漏洞,黑客能获得超管的密码密文,然后碰撞得到密码原文,但因为黑客不知道后台的管理认证码(这个无法通过SQL注入漏洞获得),也进不了后台,从而难以生成WebShell。
5、如果网站不需要修改模板,建议将Template文件夹的权限改成只能读取。等有需要修改模板时再打开写入权限。最好是将除了UploadFiles以外的所有文件夹都不允许写入。
6、网站根目录,绝对不能开放写入权限。其它按照《动易系统安全部署和配置手册》,认真检查网站文件目录权限,保证各目录按最小权限配置。如果要使用生成HTML功能,导致网站根目录必须开放写入权限,则要对web.config、Global.asax等网站根目录下的现有文件只给读取权限。
7、若您的网站接入了站群系统,请修改站群接口的通讯密钥,通讯密钥为32位复杂字符组合,修改完成后,使用安全通讯渠道将新密钥发送给站群管理员更新站群系统上对应的密钥配置信息,如下图所示:
8、若您的网站接入了微信公众号,请到微信公众号管理后台中重置您的应用密钥,并将新的应用密钥重新配置到网站后台的微信公众号配置中,如下图所示:
9、若您的网站接入了如支付宝、财付通等在线支持接口,则需要到对应支付平台的管理页面上,注销现有的密钥或安全校验码,申请新的密钥或安全校验码并重新配置到网站后台的支付接口配置里。如下图所示:
10、修改网站管理员邮箱密码,并在 后台管理 >> 系统设置 >> 网站配置 >> 邮件参数配置 中重新配置新的管理员邮箱密码。如下图所示:
11、若您的网站接入了动易短信通或其它第三方手机短信平台,请到相应短信平台的管理页面中重置您的短信平台账户密钥,并在 后台管理 >> 系统设置 >> 网站配置 >> 手机短信配置 中重新配置新的密钥,如下图所示:
12、修改您的数据库账户密码,并在数据库连接配置文件(网站目录下的Config/ConnectionString.config)中重新配置新的数据库连接字符串。配置完成后,在后台管理 >> 系统设置 >> 网站配置 >> 网站参数配置 启用对数据库连接字符串加密。
上述网站安全配置务必执行到位。因为网站被黑了,说明黑客已经进入过网站后台。而黑客一旦能进入网站后台,上述相关配置信息中的用户名密码等信息等于已经能看到。如果不修改,则黑客完全可以利用这些信息进行其他攻击。
四、服务器相关安全建议:
1、服务器操作系统建议使用windows2016或以上版本,并及时安装更新补丁(每个月至少一次)。
2、网站系统建议及时更新升级到动易的最新版本。
3、新装服务器远程账号不能存在弱口令情况(包含但不限于VPN账户密码、远程桌面账户密码、向日葵、ToDesk等)。
4、其它参考《动易安全部署手册》来配置服务器以及网站安全。
5、安全配置加固相关:https://tech.powereasy.net/cpzsk/wzfwqwlaq/content_2064 。
6、 建议部署WAF或采购云WAF服务。如果实在没有预算,可以使用免费的WAF。