湖北國菱網絡安全小組緊急處理荊州某集團網站被入侵事件

來源：荊州松滋網絡安全 時間：2017-04-19

2017年4月15日，湖北國菱網絡安全小組接到荊州某集團網站服務器被入侵通知，荊州網監(jiān)檢測到網站有掛馬的現象，被責令關閉。事情緊急，公司網絡安全小組全體人員展開了調查分析，綜合荊州某集團工作人員描述，迅速從技術層面總結出事件始末，進行了緊急處理，現網站已全面恢復上線。

事情處理經過：

首先，查清楚黑客入侵方法，經過湖北國菱網絡安全團隊十余小時的觀察與分析，分析整個網站域名下的子域名和服務器集群，鎖定重點目標，鎖定外網ip，內網服務器木馬源頭。入侵者通過網站服務器利用sql注入漏洞入侵網站，隨后上傳了多個PHP腳本木馬，如下圖，紅色框內為木馬文件。

鑒于以上情況，湖北國菱網絡安全團隊結合以往經驗以及該單位服務器群實際情況，采取了以下處理措施：

1.查看服務器日志，分析入侵手段，對服務器進行SQL過濾，封堵SQL注入漏洞；

2.對服務器文件進行實時監(jiān)控，生成日志；

3.對所有網站進行漏洞掃描排查，經檢查無異常；

4.對所有網站進行恢復上線。

整改方案：

1.將網站主域名下的子域名全部登記備案，子域名所運行的網站程序無論是否在本機房，均必須按照嚴格標準審核后再上線，以免給主域名造成負面影響；

2.重申并認證觀測，所有技術操作人員在網站根目錄下禁止存放與網站本身運行無關的其他文件（包括附件）；

3.講我們一周一次的掃描檢測升級為一天一次，形成報告，發(fā)現異常，短信通知相關人員；

4.加強所有后臺服務器密碼權限管理，密碼更換等。