阿里云发现网站后门-发现后门(Webshell)文件 删除后还显示待隔离怎么办

  • A+
所属分类:漏洞防御 网站安全
        阿里云发现网站后门-发现后门(Webshell)文件 删除后还显示待隔离怎么办
       您好,收到短信,有木马文件被植入,具体如下,请问黑客是通过什么方式将文件植入的?我们应该要怎么防护?
  • 事件描述:该文件极有可能是黑客成功入侵网站后种植的,建议您先确认文件合法性并处理。
  • 发生时间:
  • 事件类型:网站后门-发现后门(Webshell)文件
  • 事件等级:紧急
  • 事件状态: 待处理

之前我们也讲过,什么叫 webshell,详情也可以见下面这文章

阿里云提示网站“出现了紧急安全事件:可疑WebShell通信行为的解决方法

什么是网站后门一句话webshell的呢?

上面也介绍了什么是webshell文件,大家了解后会对这个一句话webshell不太理解,那么由我们给大家来讲就是用简短的程序后门代码构造成的脚本文件就是一句话webshell文件,具体事例如图:

代码很小,只有一行的代码,所以会被称为一句话webshell,主要功能就是通过POST的方式去提交参数,并可以上传任意文件到网站的目录下,而且这个webshell木马,利于隐蔽或嵌入到任意程序文件中来混淆,而且特殊隐蔽性质的一句话webshell是无法通过阿里云安全所扫描到而提示的。

接下来我们来了解一下可疑WebShell通信行为是什么就会通过上述两个问题的分析就会大体知道具体意思了。

什么是异常网络连接-可疑WebShell通信行为呢?

就是通过网站漏洞上传了后门webshell文件后通过网址形式的访问并且操作了上传或修改文件的这个通信过程就会被提示为异常网络连接-可疑WebShell通信行为。

如何解决总被上传后门webshell文件?

1.对网站进行详细的网站安全检测,以及网站漏洞的检测对网站代码的安全审计,比如对图片上传进行扩展名的严格过滤以及对图片目录进行脚本权限限制,对生成静态文件权限进行控制只允许生成html和htm.

2.网站发布文件内容编辑器的使用一定要先验证管理员权限才能使用编辑器,对网站的后台管理目录千万别用默认的文件名为admin或guanli或manage等.

3.服务器安全方面要加强对磁盘目录的权限防止跨目录浏览和修改,以及网站iis进程或apache进程运行的账户进行单独账户设置出来分别授予权限.

4.网站中要对sql注入攻击进行防范,对提交中的内容进行过滤或转义,对网站管理员的密码进行加强设置为大小写字母和数字加符号的组合最低12位以上。

5.尽量不要用开源的程序如dedecms,metinfo,WordPress,ecshop,zencat,Discuz,phpcms,帝国cms等等如果对程序代码不熟悉的话建议找我们 360°网站管家 专业做网站安全公司来处理此问题,

6.单独服务器linux系统和win2008,win2012系统的服务器安全加固以及网站安全部署都要详细的进行防护,因为即使网站程序再安全,服务器不安全的话那么照样还是会被牵连,所以说知己知彼才能百战百胜,希望各位有此问题的朋友多多了解这个问题的严重性以及问题的解决方案.

阿里云发现网站后门-发现后门(Webshell)文件 删除后还显示待隔离怎么办

        对于缺乏专业维护人员的网站,建议向 360°网站管家 咨询,我们竭诚为您服务
        下面有联系方式,QQ,微信,您可以随时咨询,我们为您排忧解难
  • 微信客服
  • 联系免费答疑
  • weinxin
  • QQ客服
  • 联系免费答疑
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: