123移车扫码挪车系统使用的是公司自主研发的QZPHP框架,其中价值数千元的WAF防火墙是我们免费提供给客户使用的,WAF防火墙功能强大,本次的立功主角是其中的【系统篡改检测】功能,默认系统会在60分钟检测一次客户安装的123移车系统,看是否有文件被变更,如果是管理员或者开发人员主动变更,变更后,可以上报到云端,不会触发报警。如果是非法入侵篡改,则会触发这个报警。
昨天我们运维人员及客户管理员微信收到一条报警通知,提示系统可能被篡改
接下来我们立即联系客户看是否是主动修改,还是被非法入侵了
客户确认没动过系统,因为我们客户一般不懂技术,所以主动修改的可能性比较小,后面我们让客户告知我们服务器的账号和密码,我们进入服务器排查。
发现系统被上传了一个后面文件info.php
登录服务器我们发现,客户一台服务器运行多个网站
经过简单的对网站日志分析,发现其中一个网站第一次被入侵,然后整个服务器被黑,那么其中的网站全部感染并被上传了后门文件。
我们技术人员第一时间删除了非法文件,经过重新再次校对,发现挪车系统仅是被上传,并未被篡改其他文件。
本次非法文件上传,并非直接攻破挪车系统,而是采用攻破服务器其他网站,然后攻破服务器,最后感染服务器全部网站的方法。
这就要求一台服务器安装多个网站的,要确保网站的安全可靠,不要使用非常便宜,网站随便下载的系统,因为这类系统基本都有病毒留后门,你一旦安装,对方就知道了,然后偷偷黑进你服务器,感染其他网站,盗取整个服务器的数据。
我们再次和客户沟通,竟然发现网站是几十块钱买的。
我们及时清理了非法上传文件,猜测不法分子,肯定后门会再次通过这个非法文件进行入侵操作,刚刚又去查询了下客户的服务器,果然,在昨晚21:14:42不法分子再次连接这个非法文件info.php,但是系统已经删除这个文件,后门黑客发现链接不上,后面也没有其他动作,这也再次证明这个文件是通过外部渠道被上传的,因为如果是系统本身被入侵,黑客发现文件不存在,会再次利用之前的漏洞再次上传,而不是直接放弃。
再看同服务器其他网站,很遗憾仍然存在非法入侵文件
但是其他网站并非我们公司维护,所以只能通知客户自行处理了。
这里我们再次友情提醒:一台服务器安装多个网站的,要确保网站的安全可靠,不要使用非常便宜,网上随便下载的系统,因为这类系统基本都有病毒留后门,你一旦安装,对方就知道了,然后偷偷黑进你服务器,感染其他网站,盗取整个服务器的数据。