2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑WebShell通信行为,还会伴有,网站后门-发现后门(Webshell)文件,以及提示网站后门-一句话webshell的安全提示,但是大部分都是单独服务器ECS的用户,具体被阿里云提示的截图如下:

点开消息后的内容为:受影响资产 iZ2393mzrytZ 访问者IP

Webshell URL

事件说明:云盾检测到有疑似黑客正在通过Webshell访问该服务器,可能是因为服务器上网站存在漏洞被植Webshell或者因为已发现的Webshell未及时删除导致黑客入侵。黑客可通过该Webshell窃取网站核心资料,篡改数据库等危险操作。

解决方案:建议按照告警中提示URL查找网站对应磁盘文件进行删除,并及时登录安骑士"网站后门"控制台,对未隔离的后门文件进行及时隔离,避免更一步损失。

看到这些阿里云提示内容后,我们对客户网站出现的问题进行分析,阿里云的提示是反复性的提醒客户,比如9.26日被提示锅2次,过了网站被上传webshell文件后,又被阿里云安全提示,首先我们要清楚为何会被提示可疑webshell通信行为以及网站后门-一句话webshell和发现后门webshell文件,服务器里的网站程序存在漏洞导致被黑客入侵上传了webshell脚本后门文件。

那么什么是阿里云提示的网站后门webshell文件呢?

webshell文件就是黑客通过网站的漏洞入侵并上传了一个脚本文件,而这个脚本文件语言有很多种比如php文件,asp文件,aspx文件,jsp文件,具体什么是webshell?通俗容易理解的意思就是这个脚本文件是木马后门,有强大的管理功能可以修改网站目录下的所有文件,如果服务器中网站目录安全权限设置的不当,可以浏览整个服务器里的盘符,以及网站文件任意修改,具体这个webshell文件到底有多强大看下截图就知道了,如图:

一般这个后门脚本文件的大小在50KB到150KB之间,具体这个后门webshell文件的代码内容是什么呢那么我来截图给大家看下:

看到上述图片中的功能了吗,这就是网站后门webshell文件,这个木马代码可以对网站进行篡改,网站经常被篡改跳转到博彩网站上去,以及数据被篡改,都是因为网站有漏洞才导致被上传了这些脚本后门webshell文件。

那么什么是网站后门一句话webshell的呢?

上面第一个介绍了什么是webshell文件,大家了解后会对这个一句话webshell不太理解,那么由我们sine安全通俗给大家来讲就是用简短的程序后门代码构造成的脚本文件就是一句话webshell文件,具体事例如图:

代码很小,只有一行的代码,所以会被称为一句话webshell,主要功能就是通过POST的方式去提交参数,并可以上传任意文件到网站的目录下,而且这个webshell木马,利于隐蔽或嵌入到任意程序文件中来混淆,而且特殊隐蔽性质的一句话webshell是无法通过阿里云安全所扫描到而提示的。

接下来我们来了解一下可疑WebShell通信行为是什么就会通过上述两个问题的分析就会大体知道具体意思了。

那么什么是异常网络连接-可疑WebShell通信行为呢?

就是通过网站漏洞上传了后门webshell文件后通过网址形式的访问并且操作了上传或修改文件的这个通信过程就会被提示为异常网络连接-可疑WebShell通信行为。

如何解决总被上传后门webshell文件?

1.对网站进行详细的网站安全检测,以及网站漏洞的检测对网站代码的安全审计,比如对图片上传进行扩展名的严格过滤以及对图片目录进行脚本权限限制,对生成静态文件权限进行控制只允许生成html和htm.

2.网站发布文件内容编辑器的使用一定要先验证管理员权限才能使用编辑器,对网站的后台管理目录千万别用默认的文件名为admin或guanli或manage等.

3.服务器安全方面要加强对磁盘目录的权限防止跨目录浏览和修改,以及网站iis进程或apache进程运行的账户进行单独账户设置出来分别授予权限.

4.网站中要对sql注入攻击进行防范,对提交中的内容进行过滤或转义,对网站管理员的密码进行加强设置为大小写字母和数字加符号的组合最低12位以上。

5.尽量不要用开源的程序如dedecms,metinfo,WordPress,ecshop,zencat,Discuz,phpcms,帝国cms等等如果对程序代码不熟悉的话建议找专业做网站安全公司来处理此问题,国内推荐Sine安全公司,绿盟,启明星辰等等安全公司.

6.单独服务器linux系统和win2008,win2012系统的服务器安全加固以及网站安全部署都要详细的进行防护,因为即使网站程序再安全,服务器不安全的话那么照样还是会被牵连,所以说知己知彼才能百战百胜,希望各位有此问题的朋友多多了解这个问题的严重性以及问题的解决方案.

阿里云异常网络连接-可疑WebShell通信行为的分析解决办法的更多相关文章

  1. 通过nginx转发,用外网连接阿里云的redis,报Unexpected end of stream的解决办法

    一.在与redis同一个内网的服务器上A的nginx做了下面的设置 stream { upstream redis { server  redis.rds.aliyuncs.com:6379 max_ ...

  2. 阿里云服务器配置https(port443)后客户端 svn check out 失效解决办法

    1. 客户端环境 1. 操作系统:Windows 7 2. svn客户端:TortoiseSVN 2. 服务端环境 1. 云服务平台:阿里云 2. 操作系统:Windows Server 2008 R ...

  3. 阿里云安装mysql后查看不到初始密码的解决办法

    在阿里云安装mysql后用grep 'A temporary password' /var/log/mysqld.log命令查看MySQL初始密码,毛线都没有看到,然后直接到/var/log/mysq ...

  4. 关于阿里云OSS上传图片之后会被旋转90度的解决办法

    原文:https://www.cnblogs.com/wuhjbk/p/10133596.html 问题描述:正常的图片前端上传到oss成功之后的资源地址.在html上引用的时候被旋转了90度oss资 ...

  5. 启动fiddler情况下,网络连接错误[Fiddler] The connection to ** failed.解决办法

    这种错误是由于浏览器设置了代理,而代理服务器配置不正确导致 解决办法 1.关闭浏览器服务器代理,设置-高级-网络代理 2.检查网络代理设置是否正确,Fiddler中配置的端口号需要跟浏览器中配置的端口 ...

  6. 阿里云MySQL远程连接不上问题

    解决阿里云MySQL远程连接不上的问题:step1:1.修改user表:MySQL>update user set host = '%' where user = 'root'; 2.授权主机访 ...

  7. 阿里云Windows远程连接出现身份验证错误,要求的函数不正确”的报错。

    最近很多阿里云用户在远程Windows Server的云服务器ECS时出现“身份验证错误,要求的函数不受支持”的报错. 这个问题解决起来非常简单,修改组策略中的一个配置就可以了. 在运行中输入gped ...

  8. 阿里云服务器远程连接错误:由于一个协议错误(代码:0x112f),远程会话将被中断。

    2019年10月,阿里云服务器远程连接忽然无法登录.当时正在清理c盘空间,C盘只剩下30+M,忽然远程桌面掉线,以为断网了,再次远程桌面连接时,就出现一下错误. 解决方案:万能的重启!!!具体错误原因 ...

  9. ORA-12514:TNS:监听程序当前无法识别连接描述符中请求的服务解决办法

    ORA-12514:TNS:监听程序当前无法识别连接描述符中请求的服务解决办法: 1.首先打开cmd命令 查看本地TNSPING配置 是否ok?然后找到 Oracle 安装文件 中 listener. ...

随机推荐

  1. CCF201712-1 最小差值

    试题编号: 201712-1 试题名称: 最小差值 时间限制: 1.0s 内存限制: 256.0MB 问题描述: 问题描述 给定n个数,请找出其中相差(差的绝对值)最小的两个数,输出它们的差值的绝对值 ...

  2. Exchange 2016的MAPI over HTTP简介

    一.MAPI over HTTP的简介 MAPI(消息处理应用程序编程接口)over HTTP是传输协议,可将传输层移到行业标准HTTP模型中,从而提升Outlook 和 Exchange连接的可靠性 ...

  3. day6-基础 模块详解

    1.定义: 1)模块:本质上就是一个python程序,封装成一个"模块",可以调用里面的方法,用来实现一个功能.逻辑上用来组织python代码. 2)包:本质上是一个目录(必须带有 ...

  4. selenium启动不了浏览器或者启动后不会写入网址,先更新下浏览器驱动

    平时自动化习惯用Chrome浏览器.有几个月没用selenium启动IE和Firefox,今天跑兼容性测试,需要验证其他浏览器.结果遇到两个异常: 1 IE启动不了,直接报错. 2 Firefox启动 ...

  5. Arcgis Javascript中geometryEngine报错’hq‘of undefined的解决方法

    这个问题困扰了我一个星期,原因是使用geomagicbuffer时候,有的线可正常使用,有的就直接报错,一直没有解决,后来发现是api自己的bug导致的 干脆直接读代码,在geometryEngine ...

  6. echart 折线图、柱状图、饼图、环形图颜色修改

    之前在做报表的时候用过echart 用完也就完了,而这次在用的时候已经忘了,所以这里简单记录一下,好记性不如烂笔头!!! 1.折线图修改颜色: xAxis: { type: 'category', b ...

  7. 泛型约束-swift

    1.泛型定义本体有参量类型约束: 2.泛型扩展对参量类型约束: 3.函数参量约束: 泛型类型的访问控制: 1.与类型无关的通用函数,泛型的任何实例都可以访问: 2.与类型有关的函数(通过扩展约束实现) ...

  8. Codeforces 7C 扩展欧几里得

    扩展欧几里得是计算 ax + by = gcd(a,b) 的 x,y的整数解. 现在是ax + by + c = 0; 只要 -c 是 gcd(a,b) 的整数倍时有整数解,整数解是 x = x*(- ...

  9. 【[APIO2012]派遣】

    题目 直接线段树合并就好了 之后在线段树上二分贪心选取金额较少的 如果是左偏树的话就开一个大根堆,根和子树顺次合并,合并之后堆内所有元素总和如果大于\(m\)就删除堆顶,由于每个元素只会被删除一次,所 ...

  10. jsp的4个作用域区别( pageScope、requestScope、sessionScope、applicationScope)

    简单描述 page里的变量没法从index.jsp传递到test.jsp.只要页面跳转了,它们就不见了. request里的变量可以跨越forward前后的两页.但是只要刷新页面,它们就重新计算了.  ...