官网被入侵的反思

最近公司一个客户的网站被入侵了，由于和这个客户有维护的合同，所以需要进行处理。整个事情的处理不复杂，但是花费了一些时间，并且最后让客户买了一些阿里云的安全产品。细细想来，其实事情可以做的更好一些，但是无奈没有太多的准备和积累。

公司的一个客户，其实就是几年前公司给他们做了一个官网，做完官网以后签了一个维护的合同，其实本身这样的合同我认为应该只是一些基础的维护，但是当时的合同中据同事说有安全相关的维护条款。说实话，我感觉安全行业水很深，像我们这种小的软件外包公司接了安全维护的工作是比较费时费事吃力的工作，关键是在安全能力上严重的欠缺。

开始客户的官网被篡改，成了带有非法信息的网站，然后阿里云短信进行提醒了。本着良好的服务态度登录客户的服务器查看一下，然后发现服务器中多了很多本不应该有的文件，遇到这样的问题，也并没有深究，直接从版本控制中拉取代码（PHP 开发的官网），把客户上传的图片等复制到新拉取的项目中，完事！结果很快就又发生了相同的问题，无奈只能去分析日志。通过日志分析找到了攻击的方法，其实是网上早就公布的某个开源项目的漏洞，然后按照网上提供的修复方法进行了修复，也让客户开通了阿里云上的相关安全产品。

至此，客户的服务器没有再被入侵。其实后来细细思考，这样的问题公司也发生过，修复了漏洞并没有开通阿里云的安全产品，也没有再出现过被篡改等问题，所以觉得不该建议客户开通购买那些价格昂贵的安全产品。但是已经开通了，又能说什么呢？

在分析（其实就是查看）日志的时候，从日志的内容中体会到了在入侵的时候有一个好的工具还是很方便的，因为从日志中可以看出，从漏洞的扫描，木马的下载及确认等一气呵成（感觉像是针对漏洞定制的工具）。而且也从服务器上的 Web 木马中学到了一些相关的安全技巧，以前对 Web 木马并没有太多深入的进行了解过，这次也算对这类木马有了一些新的认识（当然了，对于 Windows 下二进制木马了解程度也就停留在好多年了）。也算是一些收获吧！对于这次事件的处理，也让自己有了一些想法，不过这些想法就不说了，待自己去实现一番再看情况吧。

安全，真的不是有一个防火墙或者一个扫描器就可以解决的问题。作为一个技术人员应该对技术存有敬畏感，时刻要明白自己在技术面前的渺小，让自己不断的去努力，去进步。

---

我的微信公众号：“码农UP2U”
我的公众号