专栏首页网站漏洞修补网站被劫持 直接跳转到彩票页面的解决办法
原创

网站被劫持 直接跳转到彩票页面的解决办法

某一客户单位的网站首页被篡改,并收到网监的通知说是网站有漏洞,接到上级部门的信息安全整改通报,贵单位网站被植入木马文件,导致网站首页篡改跳转到caipiao网站,根据中华人民共和国计算机信息系统安全保护条例以及信息安全等级保护管理办法的规定,请贵单位尽快对网站漏洞进行修复,核实网站发生的实际安全问题,对发生的问题进行全面的整改与处理,避免网站事态扩大。我们SINE安全公司第一时间应急响应处理,对客户的网站进行安全检测,消除网站安全隐患。

信息安全整改通知书

贵单位,经过信息安全部安全检查及上级部门反馈情况,你院存在以下安全隐患:

事件类型:网站漏洞--SQL注入漏洞

事件URL://******.cn/search.php?a=

发生时间:2019-02-28

要求整改完成时间:2019-03-06

事件描述:SQL注入漏洞,恶意攻击者可以利用SQL注入漏洞,获取网站数据库中的所有信息,包

括管理员账号密码,造成网站敏感数据信息泄露.网站被篡改。

事件截图:

请贵单位接到网站安全整改通知书后立即整改,并将整改情况以书面形式上报,截止日期为2019年03月06日。在整改期间你院应当采取应急措施,防止发生网站安全事件。

收到信息安全整改通知后,我们SINE安全跟客户对接了相关的网站信息,包括网站的FTP账号密码,以及服务器IP,账号密码。连接FTP对网站代码进行下载,打包,客户网站使用的PHP语言+mysql数据库架构开发的,下载完网站代码对其人工安全审计,发现网站首页文件index.html被篡改成cai票内容,首页的标题,描述,都被改成了bjsaiche等字样,对这些恶意代码进行了强制删除。

对所有的网站代码进行网站木马后门检测,发现2个木马后门,一个是eval webshell也叫一句话木马后门,另外一个是php网站木马,可以对网站进行篡改,上传,改名等管理员操作的网站木马后门。

对网站的漏洞检测,发现一处sql注入漏洞,漏洞文件是search.php,在搜索中可以插入恶意的sql注入语句,并传送给服务器后端,进行数据库查询,操作,更新表段。我们对该SQL注入漏洞进行了修复,过滤网址请求中的非法特殊字符,采用数据库语句预编译以及绑定变量,检查变量值的类型以及数据格式,限制提交参数的长度。如果自己对程序代码编程不太了解的话,建议找网站安全公司去修复网站的漏洞,以及写信息系统安全等级保护限期整改通知书,国内推荐,SINE安全公司、绿盟安全公司、启明星辰等等的网站安全公司。

关于网站安全,以及漏洞修复方面的安全建议

1.对网站的程序代码定期安全检查,备份,对首页的代码进行查看,是否被篡改添加一些加密的字符内容,尤其标题,描述,内容。

2.网站的后台管理地址,进行更改,默认admin等的地址,改的复杂一些,后台的账号密码使用数字+大小写字母+!@#等的10位以上密码。

3.如果网站使用的单独服务器,像windows系统,linux系统,建议对服务器的系统进行升级,系统漏洞修复,定期扫描系统是否存在木马后门病毒。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何做好网站安全来防止入侵 挂马的攻击分享

    作为一名网络安全工程师,“网站安全”这个词似乎离生活有些遥远,平日里很多人开启计算机最多就是登陆网站、浏览网站,至于网站安不安全,却从未关注过。近些年来,网络安...

    技术分享达人
  • 网站标题被篡改成北京赛车、PK10的解决处理办法漏洞修补

    客户网站于近日被跳转到赌博网站,打开后直接跳转到什么北京赛车,PK10等内容的网站上去,客户网站本身做了百度的推广,导致所有访问用户都跳转到赌博网站上去,给客户...

    技术分享达人
  • 网站被攻击怎么办

    网站被攻击,首先牵扯到的就是网站的开发语言,包括了代码语言,以及数据库语言,目前大多数网站都是使用的PHP,JAVA,.net语言开发,数据库使用的是mysql...

    技术分享达人
  • 网站建设中怎么做才能增强网站对于用户的吸引力?

    随着互联网时代的到来,很多企业也跟随大流积极的进行网站建设,但是由于大部分企业老板或是负责人对于网站建设这方面还不熟悉,只是随便找一家网络公司去建设一个网站。而...

    砸漏
  • 推荐几个在线编程学习的网站,程序员必备

    首先推荐的当然是github。作为全球最大的同性交友网站,这里聚集了大量优秀的程序员和源码项目。github是一个面向开源和私人软件项目的托管平台,作为开源代码...

    秃头哥编程
  • 做网站,如何做好网站需求分析,方法汇总

    现在的企业网站建设说做就做,做起来是相当的容易,建站速度也是极其的快,不知道做好的企业网站效果怎么样?有多少企业网站建设之前企业需求分析做得好,有没有专业的做过...

    杭州蒙特
  • 公司网站排名如何靠前?网站排名不佳解决方案

      一、网站内容质量保证   内容为王,外链为后。随着搜索引擎算法的变化,外链重要级没之前那么重要了,但网站内容的地位一直很重要,还有不断加重的趋势。所以,要...

    悉知科技建站
  • 网站建设具体包含什么?

    我们经常看到网上有网站建设全包,或许我们会疑问,这个网站建设全包到底是包含哪些服务内容呢?今天华专网络就这个话题跟大家聊聊。

    华专网络
  • 原创的网站建设对企业有什么帮助?

    近年来,每个人都应该了解创意在各个领域的重要性。 无论是创作,设计,音乐,甚至是综艺节目,电视节目等,都可以说我们生活的各个领域都越来越重视原创性,而不仅仅是原...

    印象互动网站建设
  • 网站被攻击、被黑客挂马篡改数据 5种最稳妥的处理解决方案

    在快速发展的移动互联网今天,受疫情的影响,大部分人都在家远程办公,依靠于移动互联网,许多的公司最不乐意见到的便是自个耗费精力设计的企业官网,在都还没有为公司赚的...

    网站安全专家

扫码关注云+社区

领取腾讯云代金券