北京某客户的网站突然收到阿里云的短信告警说,【阿里云】尊敬的********@qq.com:您网站www.*******.com涉及违法不良信息,请尽快核查清理,详见站内信及邮件。客户有点懵,不知道为何会收到这样的一条短信,但阿里云也不会平白无故的给客户发这种的短信,随即我们SINE安全立即对该问题进行安全应急响应处置,安排高级安全工程师对客户的网站进行了安全检测,首先登录客户的阿里云账号查看具体的通知详情,登录阿里云账号后,映入眼帘的是一条安全提醒,违规域名整改通知。
通过阿里云站内消息通知,点击进去查看到了详情,如下图所示:
尊敬的 *********@qq.com:
经用户举报,您的域名存在违法违规内容,请您尽快清理并对您的网站内容进行排查。如逾期未处理或再次违规,根据服务协议,阿里云将对您的域名进行暂停解析并禁止转移处理,且不再进行二次通知。
违规示例:www.********.com
常见问题:
Q:如何解除封禁?
A:请您首先彻底清理违法信息,然后通过 阿里云安全管控申诉入口 提交业务说明与对应申诉材料,工作人员将在1-3个工作日内进行反馈。
Q:如何查询封禁原因?
A:通常是由于您的域名发布传播了色情、赌博、虚假或危害国家/社会稳定的违法违规信息,您可前往互联网有害信息控制台查询对应的处罚原因。
阿里云不会向您直接透露违规细节/快照,您可参考《安全违规信息类型说明》进行排查。
Q:可以将域名转移走吗?
A:若您域名因严重违规问题被阿里云禁止转移,则您无法转移域名。
Q:为什么域名信息模板关联的全部域名都被封禁了?
A:由于该信息模板关联的大量域名被发现存在违规信息,根据相关协议阿里云对该域名模板进行了封禁,若您无法说明信息模板的真实性、以及所关联域名业务场景的合规性,阿里云无法为您解封。
相关参考:《安全违规处理帮助与常见问题》、《安全违规信息类型说明》、《云平台安全处罚规则》
查看了整个阿里云告警提示,说是网站被用户举报导致被阿里云提示涉及违法不良信息导致的违规域名整改通知!我们SINE安全高级工程师立即对该网站的源代码进行了详细的安全审计,以及网站访问日志安全审计,排查到网站在6.02号被黑客上传了webshell木马文件,该黑客通过网站后门文件对服务器中搭建的Nginx中间件的配置文件进行了篡改。篡改特征如下:
ProxyPassMatch ^/zzw(.*)$
ProxyPassReverse /zzw
ProxyPassMatch ^/zyw(.*)$
ProxyPassReverse /zyw
上面的规则很明显是用来劫持百度蜘蛛抓取收录该网站的内容,我们SINE安全技术对该网站进行了溯源跟踪,发现该网站是一些违法不良成人色情等内容,也就是相当于让百度蜘蛛爬取该网站里的内容,用来收录,查看了客户网站被百度的收录情况,跟我们之前判断的一样,确实是收录了大量违法不良内容快照。
该黑客的篡改手法还有一个特征,正常用电脑从百度点击进去是不会跳转的,也就是相当于让网站的管理员无法发现问题,通过用手机百度搜索site:*****.com网站的收录,点击任意一个链接就会跳转到黑客指定的URL地址,一般都是一些违规直播APP的下载页面如下图所示:
通过我们sine安全技术一路下来的安全检测于审计,也跟客户详细的解释了发生该问题的原因,客户也终于明白了为何阿里云会发短信给他提示网站涉及违法不良信息的缘由。
如何解决阿里云的安全提醒?包括违规域名整改通知,涉及违法不良信息的处理呢?首先我们可以肯定的是网站被黑客入侵和篡改了,然后我们再来看下我们的网站在百度是否收录大量的违法不良内容,像色情、赌博等等的快照,如何查看网站的收录情况,可以在百度搜索框里输入 site:你的网址,就会搜索出来,可以根据最近一周或者最近一个月的时间来查看,这样比较容易看出问题。
再一个我们要知道网站是从那个地方被黑客入侵进来的,一个是服务器层面,服务器漏洞,第二个是网站层面,源代码漏洞,具体要对代码进行详细的安全审计,配合网站访问日志,溯源黑客入侵的痕迹,来查出到底是通过哪里入侵的,对症进行处理,如果发现是网站代码漏洞,那修复掉这个代码漏洞,防止黑客再次的攻击,对网站进行安全加固和防护,提高网站的防御能力,彻底的防止黑客攻击,避免再被阿里云二次提示,如果反复被黑客攻击和篡改,多次被阿里云提示的话,阿里云会封掉域名的解析,网站会无法访问,这种情况就得找专业的网站安全公司来处理了,国内像SINESAFE、深信服、绿盟、大树安全都是比较比较不错的,可以让他们着手处理这种网站安全问题。