湖北国菱网络安全小组紧急处理荆州某集团网站被入侵事件

来源：荆州松滋网络安全 时间：2017-04-19

2017年4月15日，湖北国菱网络安全小组接到荆州某集团网站服务器被入侵通知，荆州网监检测到网站有挂马的现象，被责令关闭。事情紧急，公司网络安全小组全体人员展开了调查分析，综合荆州某集团工作人员描述，迅速从技术层面总结出事件始末，进行了紧急处理，现网站已全面恢复上线。

事情处理经过：

首先，查清楚黑客入侵方法，经过湖北国菱网络安全团队十余小时的观察与分析，分析整个网站域名下的子域名和服务器集群，锁定重点目标，锁定外网ip，内网服务器木马源头。入侵者通过网站服务器利用sql注入漏洞入侵网站，随后上传了多个PHP脚本木马，如下图，红色框内为木马文件。

鉴于以上情况，湖北国菱网络安全团队结合以往经验以及该单位服务器群实际情况，采取了以下处理措施：

1.查看服务器日志，分析入侵手段，对服务器进行SQL过滤，封堵SQL注入漏洞；

2.对服务器文件进行实时监控，生成日志；

3.对所有网站进行漏洞扫描排查，经检查无异常；

4.对所有网站进行恢复上线。

整改方案：

1.将网站主域名下的子域名全部登记备案，子域名所运行的网站程序无论是否在本机房，均必须按照严格标准审核后再上线，以免给主域名造成负面影响；

2.重申并认证观测，所有技术操作人员在网站根目录下禁止存放与网站本身运行无关的其他文件（包括附件）；

3.讲我们一周一次的扫描检测升级为一天一次，形成报告，发现异常，短信通知相关人员；

4.加强所有后台服务器密码权限管理，密码更换等。