关于企业网站内容违规情况说明书

网站域名：huohudun.com 发现时间：2023年1月

情况简介：网站出现违规内容

事因说明：网站程序被病毒入侵发布了违规内容

处理结果：已经处理并增加了有效的防护

我们在进行工作：网上检查ISP主机的安全漏洞、被破解的帐号等。服务器配置是很典型的ISP配置：用RedHat+Apache做WEB服务器，NT+IMAIL做邮件服务器，DNS服务器是用两台分别安装了Red Hat和OpenBSD的主机做的。

我们检查的第一台机器是运行Red Hat5.0的WEB服务器。这台机器是给客户运行CGI程序并用来测试程序的。

刚登录进去的时候，除了日志外其它的一切都看来正常。不知道什么原因，utmp和wtmp两个文件看起来被破坏了，而且只要我输入who或last命令，总是返回一大堆垃圾信息，在我把这两个文件清空后，程序返回的信息仍然象是受到了破坏，于是我怀凝机器中了特洛伊木马病毒。

此时我还不知道倒底是特洛伊木马还是rootkits干的，我又仔细的在系统中查看了一番。终于在unshadowed的passwd文件中，我发现了这样一条记录：moof::0:0::/root:/bin/bash。这说明这台服务器确实已经被黑了。

在检查系统中的文件过程当中，我们发现在/root目录中有一个名为“..."的子目录，在这相子目录中有三个文件：sniffer，后门程序及一个包含了所有被截获的用户名及其密码的文本文件。查看这些文件的创建时间，它们的最后一次修改时间说明这好象已经是几个月的事情了。

黑客程序看起来更象是Linux的Rootkit IV，于是我下载了源代码，想看看它是如何工作的，改动了哪些文件。在它改动的文件当中有一个就是/bin/login。我在这台被黑的服务器上编译了/bin/login的特洛伊代码，然后用一个二进制文件编辑器查看后门密码放在了哪里。找到后，我用该编辑器打开了/bin/login文件的一个副本查找这个后门密码。找到后，为了测试这个后门密码确实管用，我们又登录到另外一台机器，在它上面运行telnet连接这台被黑的机器，输入root和后门口令进行登录。哇，我们竟然成功了，我们以root的身份登录到服务器上了。我们又用rsh进行了试验，结果竟然还是成功登录！

通过立即备份所有的数据，清除服务器，安装一个最新的Red Hat版本和补丁得以解决。

避免以后再出现这类型情况，我司已经实施了以下的防护措施：

将所有软件包都更新到最新版本。我们建议您使用可靠的来源彻底重新安装操作系统，以确保删除黑客篡改的所有内容。另外，如果安装了博客平台、内容管理系统或任何其他类型的第三方软件，请务必将其重新安装或进行相应更新。

确信自己的网站不含漏洞后再改一次密码。

将系统设置为可公开访问。更改服务器配置，使其不再返回 503 状态代码，并且采取所有其他必要措施向公众开放自己的网站。

定期检查服务器日志等方式发现问题，检查是否有可疑的针对非前台页面的访问。

经常检查网站文件是否有不正常的修改或者增加。

关注操作系统，以及所使用程序的官方网站。及时下载补丁，修补安全漏洞；必要时建议直接更新至最新版本。

修改开源程序关键文件的默认文件名，作弊者通常通过程序自动扫描某些特定的文件是否存在来判断是否使用了某套程序。

修改默认管理员用户名，提高管理后台的密码强度，使用字母、数字以及特殊符号多种组合的密码。

关闭不必要的服务以及端口，关闭或者限制不必要的上传功能。

设置防火墙等安全措施。

对重点账号，平台将作出包括但不限于以下一项或多项措施：

（一）内容编辑发布需要用户实名认证；

（二）内容编辑发布进行实时监控审核；

（三）对重点账号出现违规违法情况将视情节严重性进行加重处罚；

（四）其他本公司运营方认为合理的措施。

第七条 违法违规账号管理

对违法违规账号，平台将作出包括但不限于以下一项或多项措施：

（一）更改、删除或屏蔽相关内容；

（二）警告违规账号、账号禁言；

（三）冻结用户账户资产；

（四）变更、限制或禁止违规账号部分或全部功能；

（五）暂停、限制或终止用户使用本公司平台服务的权利、注销用户账号等；

（六）向有关监管部门或国家机关报告；

（七）其他本公司运营方认为合理的措施。

第八条 黑名单账号管理：

黑名单账号数据库包括用户账号、设备、第三方（微信、QQ、手机号）、身份证等的黑名单。其中用户账号黑名单有账号封号、系统黑名单、业务黑名单操作，封号操作禁止用户登录，系统黑名单禁止用户全社交活动，业务黑名单禁止用户单业务社交活动。而设备、第三方、身份证黑名单对于正在绑定该设备、第三方、身份证的账号禁止其相应的社交活动，并关联有封号账户的设备、第三方、身份证禁止其账号转世。