收到网安大队-网站信息系统安全等级保护限期整改通知书-如何整改网站安全问题

2018年6月12日我们接到一个网站新客户反映收到一封来自北京市公安局海淀分局网安的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在XX日之前进行整改,并要求提供整改方案。对于未按期整改的,将进行行政处罚,下面为截图:

内容如下:

北京市公安局海淀分局

信息系统安全等级保护限期整改通知书

京等保限字[2018]第06xxxx号

北京xxxxxxxxxxx

近日,我大队接通报,贵单位网站(域名:www.xxx.com)存在网络安全漏洞。(详见附件)

根据《×××计算机信息系统安全保护条例》和《信息安全等级保护管理办法》的有关规定,请你单位立即对上述问题进行核实、处置,对本单位负责的所有网站和信息系统进行全面排查和持续整改,避免发生网络安全事件,并在2个工作日内将整改情况函告我单位在期限届满之前,你单位应当采取必要的应急安全保护管理和技术措施,确保安全风险及隐患消除前信息系统安全运行,防止被××××××利用.

(注:对短期内无法完成整改的,你单位应制定整改截止时间明确的建设整改方案,并将该方案同整改情况一并报公安机关).

对于未按期限完成整改的,我单位将依据《×××计算机信息系统安全保护条例》、《信息安全等级保护管理办法》的规定,对你单位进行行政处罚.

联系单位:海淀分局网安大队

联系人:xx

联系电话:xxxxxxxx

1.网站受到整改通知书的处理过程如下:

针对这个问题的客户网站,我们Sinesafe安全应急部门技术主管对该网站信息进行了详细的交接,客户用的是阿里云的虚拟主机网站架构程序用的是aspx+sql2005 空间大小2个多G。随即对网站进行了第一步操作就是网站与数据的备份,下载到本地以防数据被×××篡改***而造成的损失.然后根据网站整改通知书里面的附件截图看了下×××后门的位置,截图如下:

那么咱先看下这个IAA目录下的9di5s.aspx文件的代码,代码如图:

这个文件是一个隐蔽性极强的一句话后门,而且是过了所有杀毒软件,那么看到这个文件就要分析网站从哪个漏洞或文件上传的这个×××后门呢?那就随我详细的来揭秘,立即对程序代码进行了安全审计发现客户网站程序用的是动易cms下的SiteFactory系统,由于之前我们Sinesafe接过此类动易系统的客户,所以了解这个一句话aspx后门的强大性质,随即连接了这个后门×××,功能如图:

事发前网站系统,一切正常运行并没有发现任何篡改的痕迹,网站首页没有被恶意跳转以及百度快照劫持篡改等相关的问题。后续我们对网站的所有文件,代码,图片,数据库里的内容,进行了详细的安全检测与对比,从SQL注入测试、XSS跨站安全测试、表单绕过、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门×××检测、包括一句话小马、aspx大马、脚本×××后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全面的安全检测。

2.网站安全问题总结

1.发现网站根目录下的Global.asax文件被篡改,通过代码发现该代码被植入了恶意代码,该恶意代码是用来劫持各大搜索引擎的蜘蛛,用来收录恶意内容,做搜索词的排名。

溯源追踪到调用的网址,发现该网址已停止解析。也就说内容无法调用,也就不会造成搜索引擎蜘蛛的抓取。

  1. 发现网站前台有sql注入,×××通过sql注入拿到了管理员的md5密码并直接登录了后台,然后通过后台文件上传漏洞,可以上传任意文件,包括aspx×××文件的上传,登录后台管理,打开系统设置—打开模板标签管理—添加内嵌代码—生成代码即可生成aspx×××文件。

3.后台管理员账号密码安全隐患,很多账号采用的密码都是比较简单的数字+字母符合,比如admin 密码admin123456,很容易遭受×××者的暴力猜解

  1. 后台管理登录地址路径默认安全隐患,

/admin/login.aspx

很容易遭受×××者的暴力路径猜解。

5.综合上述把这几点安全问题落实整改,然后对网站安全做上防篡改,主动防御网站防***.找到问题后我们Sinesafe帮客户进行安全代码审计以及修复网站漏洞然后出具整改报告详细记录反馈给网安大队,一共要出具2份单子,一份是网站整改报告单,一份是网站安全案事件调查处置情况记录单,

2个单子图片如下:

6.网站安全整改通知问题日后要防范的建议

1 选择安全的主机商,不过选择完主机商之后我们也要时刻查看主机其他的用户,看一下他们网站的情况,毕竟他们受惩罚了,我们也会受到牵连。

2 选择安全的网站程序。如今CMS是行业共识,不过选择CMS一定要选择主流程序,因为发现安全漏洞可以跟得上官网及时打补丁以防再被***。

3 网站要MD5加密,因为使用主流CMS的时候会无形中加大交流的可能性,所以这时候网站一定要加密。

4 注意系统漏统,网站模版漏洞,网站程序漏洞,尽量不适用第三方插件代码,除此之外,杀毒软件存在的必要性相信我不必再赘述了。

5 有条件的站长可以找Sinesafe来做深入的网站安全服务,来确保网站的正常运行防止网站被挂马之类的安全问题。

原文地址:http://blog.51cto.com/13753419/2129506

时间: 2024-11-05 17:27:58

收到网安大队-网站信息系统安全等级保护限期整改通知书-如何整改网站安全问题的相关文章

信息系统安全等级保护备案表

备案表编号:     备 案 单 位:       (盖章) 备 案 日 期: 受理备案单位:       (盖章) 受 理 日 期:     ×××公安部监制           填 表 说 明   制表依据.根据<信息安全等级保护管理办法>(公通字[2007]43号)之规定,制作本表: 填表范围.本表由第二级以上信息系统运营使用单位或主管部门(以下简称"备案单位")填写:本表由四张表单构成,表一为单位信息,每个填表单位填写一张:表二为信息系统基本信息,表三为信息系统定级

《信息系统安全等级保护定级报告》

一.XXX信息系统描述 简述确定该系统为定级对象的理由.从三方面进行说明:一是描述承担信息系统安全责任的相关单位或部门,说明本单位或部门对信息系统具有信息安全保护责任,该信息系统为本单位或部门的定级对象:二是该定级对象是否具有信息系统的基本要素,描述基本要素.系统网络结构.系统边界和边界设备:三是该定级对象是否承载着单一或相对独立的业务,业务情况描述. 二.XXX信息系统安全保护等级确定(定级方法参见国家标准<信息系统安全等级保护定级指南>) (一)业务信息安全保护等级的确定 1.业务信息描述

网络安全等级保护的主要工作环节

我国信息安全等级保护制度分为以下五个主要的工作环节:信息系统定级.信息系统备案.安全建设整改.安全等级测评和安全监督检查. 信息系统定级.信息系统定级按照自主定级.专家评审.主管部分审批.公安机关审核的流程进行.信息系统运营使用单位按照<管理办法>和<信息系统安全等级保护定级指南>(GB/T22240-2008),以下简称<定级指南>.自主确定信息系统的安全保护等级.为保证信息系统定级准确,可以组织专家进行评审.有上级主管部门的,应当经上级主管部门审批,跨省或全国统一联

证券期货信息安全等级保护测评

[1]  GB/T 22081-2008  信息技术 安全技术 信息安全管理实用规则 [2]  GB/T 24405.2-2009  信息技术 服务管理 第2部分 实践规则 [3]  JR-T 0059-2010  证券期货经营机构信息系统备份能力标准 [4]  JR-T 0060-2010  证券期货业信息系统安全等级保护基本要求(试行) [5]  JR-T 0067-2011  证券期货业信息系统安全等级保护测评要求(试行) [6] JR/T 0099-2012 证券期货业信息系统运维管理规

3个场景,32个案例告诉你,你不得不学习《网安法》的理由

文章来源i春秋 网虫们,你造吗,网络暴力可能让一个人抑郁.崩溃甚至轻生!你造吗?擅用别人图片或转发传播视频是侵权行为!你造吗?-假如你是受害者,求助无门,那么,6月1日正式实施的<网安法>,会是你最坚强的后盾!合法权益被侵犯时,你可以拨打110或登陆网络违法犯罪举报网站http://www.cyberpolice.cn/wfjb/进行维权!而如果你是施害者,你将很快体会到:互联网不是法外之地,玩火者必将自焚! 接下来,小i将以真实的案例为依据构建三个场景,和大家一起分析,<网安法>

从《网安法》出发_给企业安全管理者的五条建议

原文链接 6月1日,<网络安全法>正式实施以后,各个行业的网络安全有了基础要求,而监管部门的执法力度也依据法条要求呈加强趋势. 对网约车.P2P金融等行业来说,"网络安全等保要求"成为了开展业务的先决条件: 而对于踏在个人信息保护.内容安全.漏洞管理等"网络安全雷区"内的行业,例如大数据.直播平台.内容平台,有可能面临暂停业务活动.严重的违法行为将导致停业整顿或吊销执照,直接负责的主管人员和其他直接责任人员也有可能受到处罚. 近两月,大数据行业清洗,微信

国家信息安全等级保护制度第三级要求

国家信息安全等级保护制度第三级要求 1       第三级基本要求 1.1           技术要求 1.1.1      物理安全 1.1.1.1           物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震.防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁. 1.1.1.2           物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制.鉴别和记录进入的人员; b) 需进

网络安全等级保护制度遵循的基本原则

2004年9月15日,由公安部与其他单位联合下发<关于信息安全等级保护工作的实施意见>(66号文件),明确信息安全等级保护的核心是对信息安全分等级.按标准进行建设.管理和监督.信息安全等级保护制度遵循以下基本原则: 一.明确责任,共同保护 通过等级保护,组织和动员国家.法人和其他组织.公民共同参与信息安全保护工作:各方主体按照规范和标准分别承担相应的.明确具体的信息安全保护责任. 二.依照标准,自行保护国家运用强制性的规范及标准,要求信息和信息系统按照相应的建设和管理要求,自行定级.自行保护.

信息安全等级保护三级

信息安全等级保护三级     一.机房方面的安全措施需求(三级标准)如下:   1.需要使用彩钢板.防火门等进行区域隔离 2.视频监控系统 3.防盗报警系统 4.灭火设备和火灾自动报警系统 5.水敏感检测仪及漏水检测报警系统 6.精密空调 7.除湿装置 8.备用发电机 9.电磁屏蔽柜 二.主机和网络安全层面需要部署的安全产品如下:   1.入侵防御系统 2.上网行为管理系统 3.网络准入系统 4.统一监控平台(可满足主机.网络和应用层面的监控需求) 5.防病毒软件 6.堡垒机 7.防火墙 8.审