阿里云的ecs服务器云盾安全提示发现webshell后门文件,是因为网站有漏洞导致被黑客上传了了脚本后门也就是webshell后门,如果对程序代码熟悉的话可以自行修复,网站漏洞的修补与木马后门的清除,需要很多专业的知识,也不仅仅是知识,还需要大量的经验积累,所以从做网站到维护网站,维护服务器,尽可能找专业的网站安全公司来解决问题,国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.
孟津网站建设公司创新互联建站,孟津网站设计制作,有大型网站制作公司丰富经验。已为孟津千余家提供企业网站建设服务。企业网站搭建\成都外贸网站制作要多少钱,请找那个售后服务好的孟津做网站的公司定做!
有人攻击你的阿里云服务器,阿里云前端防火墙检测出来的结果。
那个防火墙很吊的,可以做很多检测
1、阿里云提示在x.x.x.x服务器上发现木马文件,被植入了webshell。
2、木马文件路径:/web/tomcat-xxx/webapps/no3/cc.jsp。
1、在未确认cc.jsp文件功能之前,将webapps文件夹下的no3文件夹和no3.war文件删除,同时将no3.war文件备份到/home/xxx目录下。
2、同时将no3文件夹下的cc.jsp文件发送到本地进行分析,确认是一个jsp的木马后门文件,可以获取远程服务器权限。
1、攻击者在webapps文件夹下上传了一个no3.war文件,并创建了包含cc.jsp木马文件的no3 文件夹,首先应找到上传的方式和路径。查看下网站,发现网站是采用的Tomcat容器。
2、进一步的思路是排查Tomcat本身的漏洞,查看Tomcat的配置文件tomcat-users.xml,发现Manager APP管理员弱口令。
3、可能的攻击思路是,通过Tomcat弱口令漏洞上传war格式的木马文件。
1、通过admin/admin弱口令登录 的Manager App功能。
2、然后找到WAR file to depoly功能,上传一个包含了木马的Tomcat WAR包。WAR包类似于一个网站的压缩包文件,可以在WAR包里构造好自己的木马,然后传至服务器。
3、在这里测试上传了一个goodwin.war文件(war里边包含了一个木马文件cc.jsp),上传成功之后在服务器的网站根目录下会自动解压生成一个goodwin的文件夹。而木马文件cc.jsp就在goodwin文件夹内。
4、祭出菜刀神器,添加并连接刚才上传的木马文件地址,密码023。
5、然后打开文件管理功能,发现我们已经获得了服务器权限,并可以访问服务器上的所有文件。
6、这样就复现了攻击者通过上传一个no3.war文件,并自动解压生成一个包含了cc.jsp木马的no3文件夹,然后通过远程连接获取了服务器的webshell,拿下了服务器权限的过程。
1、确定可疑文件为木马后门后,删除服务器上备份的no3.war。
2、删除测试过程上传的goodwin.war文件和goodwin文件夹下的所有文件。
3、修改Tomcat管理员密码。
1、排查并删除服务器上的可疑用户cat /etc/passwd。
2、不定期修改Tomcat口令,更改为包含了大写字母、小写字母、数字、特殊字符的强密码。
3、升级Tomcat版本,目前采用的版本为7.0.54,存在多个安全漏洞,建议升级到最新版本7.0.88。