某網(wǎng)站用戶(hù)反饋���,通過(guò)百度搜索引擎正常訪問(wèn)網(wǎng)站時(shí)���,頁(yè)面會(huì)自動(dòng)重定向至非預(yù)期的異常站點(diǎn)��,嚴(yán)重影響用戶(hù)體驗(yàn)及網(wǎng)站正常運(yùn)營(yíng)�。技術(shù)人員對(duì)該問(wèn)題展開(kāi)深入排查,結(jié)合用戶(hù)訪問(wèn)路徑與頁(yè)面跳轉(zhuǎn)邏輯����,初步判定為網(wǎng)站遭惡意掛馬攻擊����。然而���,對(duì)網(wǎng)站源文件進(jìn)行全面審計(jì)���,并借助專(zhuān)業(yè)安全檢測(cè)工具進(jìn)行掃描,均未發(fā)現(xiàn)網(wǎng)頁(yè)代碼中存在明顯的惡意腳本或異常嵌入痕跡�����。
為驗(yàn)證排查方向����,技術(shù)人員在網(wǎng)站目錄下新建空白的1.html文件�����,通過(guò)相同工具進(jìn)行安全測(cè)試����,結(jié)果顯示該空文件仍被判定為掛馬狀態(tài)��,由此排除網(wǎng)頁(yè)文件自身問(wèn)題����,初步判斷問(wèn)題可能源于服務(wù)器系統(tǒng)層面的異常配置或惡意植入���。進(jìn)一步對(duì)服務(wù)器系統(tǒng)配置進(jìn)行深度檢查��,重點(diǎn)核查IIS(Internet Information Services)站點(diǎn)模塊設(shè)置����。通過(guò)IIS管理器逐項(xiàng)分析模塊列表��,發(fā)現(xiàn)存在非官方授權(quán)的動(dòng)態(tài)鏈接庫(kù)(DLL)文件被非法添加至模塊加載項(xiàng)中�,該異常模塊的存在直接導(dǎo)致訪問(wèn)請(qǐng)求被惡意劫持。
針對(duì)該異常DLL文件的路徑進(jìn)行分析�,注意到其路徑前綴為%windir%,該變量指向系統(tǒng)Windows目錄��,通常為系統(tǒng)默認(rèn)合法路徑�。但技術(shù)人員結(jié)合安全經(jīng)驗(yàn)判斷,需警惕以%windir%為掩護(hù)但實(shí)際指向非標(biāo)準(zhǔn)系統(tǒng)路徑的變體�,重點(diǎn)排查c:\windows目錄下的同名或相似文件是否存在異常。通過(guò)對(duì)該DLL文件的哈希值進(jìn)行比對(duì),并結(jié)合病毒特征庫(kù)進(jìn)行動(dòng)態(tài)行為分析�����,確認(rèn)該文件為具有隱蔽性和持久性的木馬病毒程序���,其主要功能是劫持Web訪問(wèn)請(qǐng)求并重定向至惡意站點(diǎn)�。
確認(rèn)問(wèn)題根源后�����,技術(shù)人員立即采取處置措施:在IIS管理器中移除該異常模塊的加載項(xiàng)����,隨后徹底刪除服務(wù)器系統(tǒng)中的木馬病毒文件。完成操作后重啟IIS服務(wù)��,再次通過(guò)百度搜索模擬用戶(hù)訪問(wèn)�,頁(yè)面重定向問(wèn)題已完全解決,掛馬現(xiàn)象消失���。經(jīng)溯源分析,此次掛馬事件的根本原因在于黑客利用了Windows Server 2008/2012系統(tǒng)中存在的已知安全漏洞��,通過(guò)未授權(quán)訪問(wèn)植入惡意模塊,對(duì)服務(wù)器系統(tǒng)安全架構(gòu)造成破壞����,進(jìn)而實(shí)現(xiàn)非法劫持用戶(hù)訪問(wèn)的目的。
鑒于Windows Server 2008及2012系統(tǒng)已進(jìn)入生命周期末期�����,微軟官方停止提供全面安全支持���,漏洞風(fēng)險(xiǎn)較高�。若當(dāng)前服務(wù)器仍在使用上述系統(tǒng)�����,強(qiáng)烈建議用戶(hù)盡快升級(jí)至Windows Server 2016或更高版本�,該版本系統(tǒng)強(qiáng)化了安全防護(hù)機(jī)制,可有效抵御此類(lèi)漏洞攻擊�。升級(jí)可通過(guò)系統(tǒng)重裝(參考官方遷移指南)或購(gòu)置同配置云服務(wù)器完成數(shù)據(jù)遷移與時(shí)間平移。
若因業(yè)務(wù)需求無(wú)法立即升級(jí)系統(tǒng)���,需采取臨時(shí)性安全加固措施以降低風(fēng)險(xiǎn)����。具體包括:部署專(zhuān)業(yè)殺毒軟件或安全防護(hù)工具(如云鎖),實(shí)時(shí)監(jiān)測(cè)并攔截惡意行為�;為站點(diǎn)配置獨(dú)立的應(yīng)用程序池,實(shí)現(xiàn)不同站點(diǎn)間的運(yùn)行環(huán)境隔離�,避免跨站安全風(fēng)險(xiǎn);禁用分布式COM(DCOM)服務(wù)��,關(guān)閉不必要的系統(tǒng)組件權(quán)限����;通過(guò)本地安全策略調(diào)整“替換身份令牌”與“身份模擬”權(quán)限配置,移除IIS_USRS組相關(guān)權(quán)限����,減少權(quán)限濫用風(fēng)險(xiǎn)。需特別說(shuō)明���,上述臨時(shí)安全措施僅為風(fēng)險(xiǎn)緩急手段��,無(wú)法從根本上解決系統(tǒng)漏洞問(wèn)題��。為確保服務(wù)器長(zhǎng)期安全穩(wěn)定運(yùn)行����,建議用戶(hù)務(wù)必盡快完成系統(tǒng)升級(jí)�����,徹底消除安全隱患�����。
來(lái)源:西部數(shù)碼
