情況是這樣的,今天一早同事說到公司的官網後,跳到一個狗狗的驗證頁,然後要使用者安裝防毒軟體
那個驗證頁驗證後,就會進入掃瞄C槽的假畫面,然後要你安裝防毒軟體
由於那個站是比較單純的靜態網頁,處理起來比較容易
首先,我先到伺服器後台的根目錄執行
find . -type f -mtime -7 -exec ls -lt {} +
得到結果這兩支有異常
./wp-content/uploads/aios/firewall-rules/settings.php ./wp-content/plugins/elementor-pro/assets/js/webpack-pro.runtime.min.js
與正常的站比對
aios/firewall-rules/settings.php 多了
"aios_enable_brute_force_attack_prevention":"0"
elementor-pro/assets/js/webpack-pro.runtime.min.js 多了
避免有人好奇去點,我放圖片就好,就不放完整連結
我的解決方法很簡單,把這兩個檔案換成未被改的版本,至於為何會被寫入?
-rw-r--r-- 1 www-data www-data 420 8月 29 00:21 ./wp-content/uploads/aios/firewall-rules/settings.php
建議的安全措施:
- 檔案權限調整:如果這個檔案不需要經常修改,可以考慮將權限設置為更嚴格的
-rw-------,這樣只有www-data用戶才能讀寫該檔案,其他用戶無法讀取。
chmod 600 ./wp-content/uploads/aios/firewall-rules/settings.php - 檢查檔案擁有者:確保只有必要的過程和用戶能夠寫入該檔案。如果不需要頻繁寫入,可以考慮將擁有者更改為更安全的用戶,而不是
www-data。
chown secureuser:securegroup ./wp-content/uploads/aios/firewall-rules/settings.php - 定期檢查檔案變更:使用文件完整性檢查工具(如 Tripwire 或 AIDE),監控重要文件的變化,確保在文件被意外或惡意修改時能及時發現。
- 設定適當的伺服器和應用安全策略:確保伺服器上的應用程式和服務器配置已經過適當加固,防止攻擊者利用漏洞進行不必要的文件修改。
- 調整檔案權限和設定適當的安全措施,可以有效地降低被惡意代碼注入或修改的風險。