阿里云异常网络连接-可疑WebShell通信行为的分析解决办法

2018年10月27日接到新客户网站服务器被上传了webshell脚本***后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑WebShell通信行为,还会伴有,网站后门-发现后门(Webshell)文件,以及提示网站后门-一句话webshell的安全提示,但是大部分都是单独服务器ECS的用户,具体被阿里云提示的截图如下:

点开消息后的内容为:受影响资产 iZ2393mzrytZ 访问者IP

Webshell URL

事件说明:云盾检测到有疑似***正在通过Webshell访问该服务器,可能是因为服务器上网站存在漏洞被植Webshell或者因为已发现的Webshell未及时删除导致******。***可通过该Webshell窃取网站核心资料,篡改数据库等危险操作。

解决方案:建议按照告警中提示URL查找网站对应磁盘文件进行删除,并及时登录安骑士"网站后门"控制台,对未隔离的后门文件进行及时隔离,避免更一步损失。

看到这些阿里云提示内容后,我们对客户网站出现的问题进行分析,阿里云的提示是反复性的提醒客户,比如9.26日被提示锅2次,过了网站被上传webshell文件后,又被阿里云安全提示,首先我们要清楚为何会被提示可疑webshell通信行为以及网站后门-一句话webshell和发现后门webshell文件,服务器里的网站程序存在漏洞导致被******上传了webshell脚本后门文件。

那么什么是阿里云提示的网站后门webshell文件呢?

webshell文件就是***通过网站的漏洞***并上传了一个脚本文件,而这个脚本文件语言有很多种比如php文件,asp文件,aspx文件,jsp文件,具体什么是webshell?通俗容易理解的意思就是这个脚本文件是***后门,有强大的管理功能可以修改网站目录下的所有文件,如果服务器中网站目录安全权限设置的不当,可以浏览整个服务器里的盘符,以及网站文件任意修改,具体这个webshell文件到底有多强大看下截图就知道了,如图:

一般这个后门脚本文件的大小在50KB到150KB之间,具体这个后门webshell文件的代码内容是什么呢那么我来截图给大家看下:

看到上述图片中的功能了吗,这就是网站后门webshell文件,这个***代码可以对网站进行篡改,网站经常被篡改跳转到×××上去,以及数据被篡改,都是因为网站有漏洞才导致被上传了这些脚本后门webshell文件。

那么什么是网站后门一句话webshell的呢?

上面第一个介绍了什么是webshell文件,大家了解后会对这个一句话webshell不太理解,那么由我们sine安全通俗给大家来讲就是用简短的程序后门代码构造成的脚本文件就是一句话webshell文件,具体事例如图:

代码很小,只有一行的代码,所以会被称为一句话webshell,主要功能就是通过POST的方式去提交参数,并可以上传任意文件到网站的目录下,而且这个webshell***,利于隐蔽或嵌入到任意程序文件中来混淆,而且特殊隐蔽性质的一句话webshell是无法通过阿里云安全所扫描到而提示的。

接下来我们来了解一下可疑WebShell通信行为是什么就会通过上述两个问题的分析就会大体知道具体意思了。

那么什么是异常网络连接-可疑WebShell通信行为呢?

就是通过网站漏洞上传了后门webshell文件后通过网址形式的访问并且操作了上传或修改文件的这个通信过程就会被提示为异常网络连接-可疑WebShell通信行为。

如何解决总被上传后门webshell文件?

1.对网站进行详细的网站安全检测,以及网站漏洞的检测对网站代码的安全审计,比如对图片上传进行扩展名的严格过滤以及对图片目录进行脚本权限限制,对生成静态文件权限进行控制只允许生成html和htm.

2.网站发布文件内容编辑器的使用一定要先验证管理员权限才能使用编辑器,对网站的后台管理目录千万别用默认的文件名为admin或guanli或manage等.

3.服务器安全方面要加强对磁盘目录的权限防止跨目录浏览和修改,以及网站iis进程或apache进程运行的账户进行单独账户设置出来分别授予权限.

4.网站中要对sql注入***进行防范,对提交中的内容进行过滤或转义,对网站管理员的密码进行加强设置为大小写字母和数字加符号的组合最低12位以上。

5.尽量不要用开源的程序如dedecms,metinfo,WordPress,ecshop,zencat,Discuz,phpcms,帝国cms等等如果对程序代码不熟悉的话建议找专业做网站安全公司来处理此问题,国内推荐Sine安全公司,绿盟,启明星辰等等安全公司.

6.单独服务器linux系统和win2008,win2012系统的服务器安全加固以及网站安全部署都要详细的进行防护,因为即使网站程序再安全,服务器不安全的话那么照样还是会被牵连,所以说知己知彼才能百战百胜,希望各位有此问题的朋友多多了解这个问题的严重性以及问题的解决方案.

原文地址:http://blog.51cto.com/13753419/2309716

时间: 2024-08-27 19:48:39

阿里云异常网络连接-可疑WebShell通信行为的分析解决办法的相关文章

ECS云主机SSH连接提示“Connection reset by peer”的解决办法和解决思路

三周前刚从上家公司换到新的公司,这家公司与上家公司相比对阿里云的云计算环境更加的依赖,使用的ECS实例和其他服务如SLB.RDS.OSS等更多了一个数量级.这篇文章的背景就是为了解决阿里云ECS云主机SSH连接的一个问题,从故障发现到故障排除到最后反思的一个详细过程.文章比较长,图片众多,建议有时间仔细阅读,没时间就阅读文末的"总结和反思"部分即可. 故障发现: 2017-05-23 下午17:00点前同事报告称GitLab所在的服务器访问出现异常.经查发现在公司内无法正常通过SSH连

阿里云服务器不能发邮件,禁用25端口的解决办法

前阵子刚刚买了个阿里云服务器,在做发送邮件功能时,发现本来在本地测试没问题的功能,在服务器上连接超时. 后来发现是阿里云将25端口禁用了("坑!当然也有其道理"),大概2016年9月后买的服务器都被禁用.25禁用了,我们就不用它.以163邮箱为例: 网易163免费邮箱相关服务器信息: 我这里用的就是SSL协议端口465,代码如下 <?phpheader("content-type:text/html;charset=utf-8");include("

阿里云安装mysql后查看不到初始密码的解决办法

在阿里云安装mysql后用grep 'A temporary password' /var/log/mysqld.log命令查看MySQL初始密码,毛线都没有看到,然后直接到/var/log/mysqld.log查看mysqld.log文件发现文件是一片空白,一脸懵逼. 解决办法如下: 修改mysql的配置文件,使之可以跳过密码直接用root进入数据库 (1)首先找到mysql的配置文件my.cnf 一般在  /etc/my.cnf (2)cd进 /etc 直接 vim my.cnf 编辑他 (

阿里云服务器配置https(port443)后客户端 svn check out 失效解决办法

1. 客户端环境 1. 操作系统:Windows 7 2. svn客户端:TortoiseSVN 2. 服务端环境 1. 云服务平台:阿里云 2. 操作系统:Windows Server 2008 R2 Enterprise 3. svn客户端:TortoiseSVN 4. svn服务器:VisualSVN Server 3. 起因及现象 将服务器IIS网站绑定了http:*:80 和 https:*:443.因 VisualSVN Server 默认使用服务器 443 端口,IIS网站绑定 4

阿里云服务器无法访问80端口或8888等端口解决办法

阿里云有安全策略组机制.以80端口为例讲解! 阿里云服务器无法访问80端口的解决办法 朋友购买了一台阿里云服务器,配置了半天就是无法从外网访问到配置的网站,IP直接访问也不行.让我帮忙看看. 我首先检查了一下防火墙,看端口没并有被禁用.仔细检查服务器,端口也没有冲突.localhost访问是正常的,这说明只是端口被禁止访问了.后来登录阿里云管理控制台,终于找到了原因. 步骤如下: 1.登录阿里云的管理控制台.找到那台云服务器: 2.在操作的部分点击“更多”,里面藏着一个“安全组配置”: 3.进入

阿里云经典网络与Rancher VXLAN兼容性问题

近期国内很多用户曝出在阿里云的环境中无法使用Rancher的VXLAN网络,现象是跨主机的容器无法正常通信,healthcheck服务一直无法更新正常状态.经过一系列走访排查,最终定位此现象只发生在阿里云的经典网络环境下.如果你也遭遇了同样的情况,请关注此文. 阿里云经典网络部署最新的stable(v1.6.7)版本并启用VXLAN网络,使用经典网络的内网IP加入两台主机,现象如下: Rancher的VXLAN网络除了VXLAN本身的机制外,还需要在IPtables中的RAW表中进行数据包标记,

neutron实现阿里云ecs网络

一.neutron实现阿里云ecs网络 (1)环境准备 IP地址 主机名 操作系统 192.168.56.11 linux-node1 CentOS7 192.168.56.12 linux-node2 CentOS7 其中,linux-node1当作控制节点 linux-node2当作计算节点 (2)添加双网卡 阿里云主机,两个网卡,一个外网,一个内网网卡. 所以我们模拟阿里云云主机,需要添加在原有基础上再添加一块网卡. 打开wmware workstation,点"编辑"--&qu

阿里云服务器远程连接错误:由于一个协议错误(代码:0x112f),远程会话将被中断。

2019年10月,阿里云服务器远程连接忽然无法登录.当时正在清理c盘空间,C盘只剩下30+M,忽然远程桌面掉线,以为断网了,再次远程桌面连接时,就出现一下错误. 解决方案:万能的重启!!!具体错误原因也不太清楚…… 原文地址:https://www.cnblogs.com/anibei/p/11711354.html

ORA-12514:TNS:监听程序当前无法识别连接描述符中请求的服务解决办法

ORA-12514:TNS:监听程序当前无法识别连接描述符中请求的服务解决办法: 1.首先打开cmd命令 查看本地TNSPING配置 是否ok?然后找到 Oracle 安装文件 中 listener.ora文件与tnsnames.ora文件:  路径:E:\app\当前系统的账户名\product\11.2.0\dbhome_1\NETWORK\ADMIN 有下图所示就表示 TNSPING配置 是ok的 ? “orcl 是tnsnames.ora文件下面图中所示” ? 2.查看网络连接  tel