阿里云服务器IIS网站快照被入侵导致违规URL通知
距离2022年元旦约越来越近,我们发现很多网站用IIS环境尤其是aspx+sqlserver架构的网站总是被攻击,具体症状首先是接到阿里云的通知说是有违规URL通知,然后过了几天发现百度site网站域名,多了很多与网站本身内容不相关的垃圾快照内容,从百度点击这个快照地址进去后显示404找不到页面,但从百度站长工具里抓取页面就能看到内容,说明攻击者对搜索引擎的UA标识做了判断进行混淆,导致从肉眼看不出任何问题,但快照依然在继续增加新收录。
了解完上述过程,完全是近期多个客户遇到此网站被劫持攻击的症状找到我们SINESAFE网站安全公司来寻求帮助,解决这个反复被攻击以及摸不到头绪的安全问题,那么首先咱们来分析下为何网站会被攻击,因为网站本身的程序代码存在漏洞,比如上传漏洞,跨站漏洞,SQL注入漏洞等,以及客户用的是单独服务器像WIN2008系统或Windows2012,2016,2019,环境基本都是IIS7,8,10,SQLSERVER用的是sql2008 sql2012等,基本很大的因素是服务器内存在多个网站,都是些asp+aspx+sqlserver的混合架构,由于网站目录权限没有划分好,导致其中一个网站被入侵,直接牵连服务器内的其他网站,本身ASPX的访问权限就比较大,加上很多人愿意用SQLSERVER的SA用户去调用数据库的连接,直接给黑客提供了提权的机会,提权就是黑客通过权限大的用户进行提升权限从而拿到服务器权限,很多程序员也束手无策,毕竟专业的事情专业干,还得需要我们专业的网站安全公司来处理解决,接下来我会把整个处理过程简单描述下,从而让更多的网站负责人了解到网站为何会被攻击。
前几天的一位客户由于之前就联系我们咨询过网站被攻击劫持的问题,而客户觉得自己的技术能解决掉,就没把这个安全问题当回事,以为重做系统就没事了,稳定了1个多月后又被攻击,没办法才让我们对网站安全进行处理,我们接到客户的服务器信息后,登录服务器进行了检查,发现系统用户被增加了多个隐藏账户,而且网站目录下有很多隐藏文件,肉眼是看不到的,必须在CMD下显示所有文件才能看到,通过我们技术的查找对多个后门进行了处理,发现Dooad.ashx Dowmload.ashx Down.ashx servicer.aspx文件内容中被增加了一些上传功能的代码:
直接访问是会显示404提示,如果是对文件参数加上?dir=Dick 就会出现上传页面,这聪明的手法是真的很溜。那么了解到这些后门木马后,就要想想黑客是从哪里上传进来的,通过我们的人工代码安全审计,发现后台目录manage是默认的管理后台的目录,存在越权登录,添加附件这里存在后缀变量覆盖,导致直接可以上传ASPX格式或ashx格式的木马文件,从而上传后对服务器进行了提权,对网站目录下增加了global.asa等隐藏文件而且还是删除不掉的文件。我们立即对网站目录进行了切换,从而摆脱了删除不掉的文件,此global.asa就是用来劫持百度收录的后门文件。这样下来后网站恢复了正常访问,模拟抓取也显示正常了
然后阿里云违规url通知那里还得需要去申请解除屏蔽,要不然不申请的话达到多少条后会被屏蔽域名,导致网站无法访问,百度站长工具提交死链也得需要网站必须是404状态的页面才能清除掉这些收录的恶意快照内容。一定要多个方面去分析问题,切不可盲目处理,否则越拖越严重。