網(wǎng)站被劫持 直接跳轉(zhuǎn)到其他網(wǎng)站的解決辦法

某一客戶單位的網(wǎng)站首頁被篡改，并收到網(wǎng)監(jiān)的通知說是網(wǎng)站有漏洞，接到上級部門的信息安全整改通報，貴單位網(wǎng)站被植入木馬文件，導(dǎo)致網(wǎng)站首頁篡改跳轉(zhuǎn)到caipiao網(wǎng)站，根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例以及信息安全等級保護管理辦法的規(guī)定，請貴單位盡快對網(wǎng)站漏洞進行修復(fù)，核實網(wǎng)站發(fā)生的實際安全問題，對發(fā)生的問題進行全面的整改與處理，避免網(wǎng)站事態(tài)擴大。我們SINE安全公司第一時間應(yīng)急響應(yīng)處理，對客戶的網(wǎng)站進行安全檢測，消除網(wǎng)站安全隱患。

信息安全整改通知書

貴單位，經(jīng)過信息安全部安全檢查及上級部門反饋情況，你院存在以下安全隱患：

事件類型：網(wǎng)站漏洞--SQL注入漏洞

事件URL：//******.cn/search.php?a=

發(fā)生時間：2019-02-28

要求整改完成時間：2019-03-06

事件描述:SQL注入漏洞,惡意攻擊者可以利用SQL注入漏洞，獲取網(wǎng)站數(shù)據(jù)庫中的所有信息，包

括管理員賬號密碼，造成網(wǎng)站敏感數(shù)據(jù)信息泄露.網(wǎng)站被篡改。

事件截圖:

請貴單位接到網(wǎng)站安全整改通知書后立即整改，并將整改情況以書面形式上報，截止日期為2019年03月06日。在整改期間你院應(yīng)當(dāng)采取應(yīng)急措施，防止發(fā)生網(wǎng)站安全事件。

收到信息安全整改通知后，我們SINE安全跟客戶對接了相關(guān)的網(wǎng)站信息，包括網(wǎng)站的FTP賬號密碼，以及服務(wù)器IP，賬號密碼。連接FTP對網(wǎng)站代碼進行下載，打包，客戶網(wǎng)站使用的PHP語言+mysql數(shù)據(jù)庫架構(gòu)開發(fā)的，下載完網(wǎng)站代碼對其人工安全審計，發(fā)現(xiàn)網(wǎng)站首頁文件index.html被篡改成cai票內(nèi)容，首頁的標題，描述，都被改成了bjsaiche等字樣，對這些惡意代碼進行了強制刪除。

對所有的網(wǎng)站代碼進行網(wǎng)站木馬后門檢測，發(fā)現(xiàn)2個木馬后門，一個是eval webshell也叫一句話木馬后門，另外一個是php網(wǎng)站木馬，可以對網(wǎng)站進行篡改，上傳，改名等管理員作的網(wǎng)站木馬后門。

對網(wǎng)站的漏洞檢測，發(fā)現(xiàn)一處sql注入漏洞，漏洞文件是search.php，在搜索中可以插入惡意的sql注入語句，并傳送給服務(wù)器后端，進行數(shù)據(jù)庫查詢，作，更新表段。我們對該SQL注入漏洞進行了修復(fù)，過濾網(wǎng)址請求中的非法特殊字符，采用數(shù)據(jù)庫語句預(yù)編譯以及綁定變量，檢查變量值的類型以及數(shù)據(jù)格式，限制提交參數(shù)的長度。如果自己對程序代碼編程不太了解的話，建議找網(wǎng)站安全公司去修復(fù)網(wǎng)站的漏洞，以及寫信息系統(tǒng)安全等級保護限期整改通知書，國內(nèi)推薦，SINE安全公司、綠盟安全公司、啟明星辰等等的網(wǎng)站安全公司。

關(guān)于網(wǎng)站安全，以及漏洞修復(fù)方面的安全建議

1.對網(wǎng)站的程序代碼定期安全檢查，備份，對首頁的代碼進行查看，是否被篡改添加一些加密的字符內(nèi)容，尤其標題，描述，內(nèi)容。

2.網(wǎng)站的后臺管理地址，進行更改，默認admin等的地址，改的復(fù)雜一些，后臺的賬號密碼使用數(shù)字+大小寫字母+！@#等的10位以上密碼。

3.如果網(wǎng)站使用的單獨服務(wù)器，像windows系統(tǒng)，linux系統(tǒng)，建議對服務(wù)器的系統(tǒng)進行升級，系統(tǒng)漏洞修復(fù)，定期掃描系統(tǒng)是否存在木馬后門病毒。