腾讯云提示有木马文件事件通知 该如何处理?



         客户的网站于近日收到了来自腾讯云的安全告警,木马文件事件通知!第一时间客户联系到

我们SINE安全,把腾讯云提示的问题反馈给了我们安全技术部门,说
是网站突然收到了腾讯云的

邮件提醒,说什么网站有木马,服务器也存后门文件。
客户以前从没有对网站,以及服务器进行

安全部署与加固,导致今天发生这样的严
重黑客入侵事件。
 
 
随即我们与客户进行网站服务器的对接工作,服务器的IP,以及SSH端口,root账号密码,包括网

站后台的账号密码都记录下来,下面把腾讯云提示有木马的这个问
题的处理,以及解决过程书面的

写一下,希望能帮到遇到同样问题的朋友,帮助他
人也是在帮助我们自己。
 
 
我们来看下木马文件事件通知的邮件:
 
尊敬的腾讯云用户,您好!
 
您的服务器 10.135.181.200(开发商账号:2672053389 instancd-id:ins-cvingm4i 地域:gz) 检测

到存在未处理的 D:/wwwroot/www.feifei-
china.com/data/cache/asd.php 木马文件。您的服务

器疑似被黑客入侵,请即刻
前往云镜控制台查看详细信息。
 
处理措施可参照:https://cloud.tencent.com/document/product/296/2223
 
建议开通云镜专业防护,降低被黑客入侵风险,获得专家在线支持服务。
 
专业防护详情可见 https://cloud.tencent.com/document/product/296/12236
 
开通专业防护 https://console.cloud.tencent.com/yunjing/index/upgrade
 
此致! 
 
腾讯云安全团队
 
邮件图片如下:
 
 
从邮件中得知,客户的网站根目录下的data目录cache缓存文件下存在一个asd.php的木马文件

,疑似是被黑客攻击并入侵篡改了,我们立即登录客户的linux centos
服务器,发现确认存在上

述的文件,打开该文件发现是一段加密的代码,base64位
加密,通过我们对其解密发现该代码

是一段恶意的脚本木马,可以执行读写功能的
脚本。根据我们多年的安全维护经验,网站首页

应该也被篡改了,果不其然我们在
首页index.html文件里发现了问题,首页的标题,描述,都被

篡改成了赌博网站的
内容。
 
紧接着我们查看客户网站在百度的收录情况,竟然发现客户的网站首页被改成了赌博的内容,

并且还被百度风险提示什么,百度网址安全中心提醒您:该页面可能已
被非法篡改!如下图所

示:


 
还发现一个问题就是从百度搜索点击进去,网站会直接跳转到赌博网站上去。360提醒说是未

经证实的博彩赌博网站,您访问的网站含有未经证实的境外博彩或非法
赌博的相关内容,可

能给您造成财产损失,请您谨慎访问。点忽略广告,继续,就
会跳转到赌博网站上去了。
 
 
 
我们对客户的网站程序代码进行人工的安全检测,包括网站的漏洞检测,网站木马后门检测,

首页加密代码的安全检测,发现网站存在任意文件上传漏洞,在后台管
理目录下有个tupianfile.php

可以绕过管理员登录,普通访问用户就可以直接POST
数据过去,并上传任意文件到网站目录

下,导致网站被黑客上传了webshell,利用
服务器的默认配置,直接服务器提权拿到root权限。

至此我们安全技术人员对该上
传漏洞进行了修复与加固。对存在网站里的木马后门也进行了强

制删除,并做好网
站安全部署,对图片目录,以及html页面的目录,images,css,data缓存文件

限制
了PHP脚本文件的执行权限,部署网站防篡改方案,问题得以最终的解决。


 
 
接下来就是提交反馈给腾讯云,以及百度网址安全中心,说网站已经清除木马,以及跳转赌博

网站的代码也已彻底的清除,网站漏洞也修复了,请百度,以及腾讯云
尽快解除对网站的红色

风险提示。

分享: