ウェブサイトは情報システムセキュリティレベル保護期限修正通知ソリューションを受け取りました

2018年最もホットなプロジェクト：テレマーケティングロボットがあなたの参加を待っています

2018年6月、北京の新規顧客から、北京市公安局海淀支局サイバーセキュリティ大隊から通知を受けたという報告を受けました。通知には、「貴社のウェブサイトにはネットワークセキュリティの抜け穴があり、バックドアプログラムがウェブサイトに埋め込まれています。貴社はXX日までにウェブサイトのセキュリティ修正を実施し、完全な修正計画を提供する必要があります。」と書かれていました。期限内に是正を行わなかった場合は、次の図に示すように行政罰の対象となります。

サイバーセキュリティ旅団は期限内に是正するよう通知を発行しました。その内容は次のとおりです。

北京市公安局海淀支局

情報システムセキュリティレベル保護期限修正通知

北京第06xxxx号[2018]

北京 xxxxxxxxxxxx

最近、弊社のインターネット監視チームは、貴社の Web サイト (ドメイン名: www.xxx.com) にネットワーク セキュリティの脆弱性があるという報告を受けました。 （詳細は添付資料を参照）「中華人民共和国コンピュータ情報システムの安全保護に関する条例」および「情報セキュリティレベル保護管理措置」の関連規定に基づき、上記の問題を直ちに検証して対処し、所属部署の責任下にあるすべてのウェブサイトと情報システムに対して全面的な調査と継続的な是正を実施してネットワークセキュリティインシデントを回避し、2営業日以内に是正状況を当部署に通知してください。期限切れになる前に、貴部署は必要な緊急セキュリティ保護管理および技術措置を講じ、情報システムの安全な運用を確保してから、セキュリティリスクと隠れた危険を排除し、ハッカーによる攻撃や悪用を防止してください。（注：短期間で完了できない是正については、貴部署は是正期限を明確にした建設是正計画を策定し、是正状況とともに公安機関に報告してください。）

期限内に是正が完了しない場合、当社は「中華人民共和国コンピュータ情報システムセキュリティ保護条例」および「情報セキュリティレベル保護管理措置」の規定に従って、貴社に行政処分を課します。

連絡先: 海淀支社ネットワークセキュリティチーム

連絡先: xx

連絡先番号: xxxxxxxx

上記インターネット警察から提供された期限内のネットワークセキュリティ技術保護措置の是正に関する通知によると、新規顧客のウェブサイトにはセキュリティホールがあり、トロイの木馬バックドアプログラムが埋め込まれ、ブラックリンクがあり、悪質なウェブサイトにジャンプすることが簡潔かつ明確に指摘されており、顧客のウェブサイトに問題が見つかりました。

お客様のウェブサイトのセキュリティ問題に対応するため、弊社SINEセキュリティ社は直ちにネットワークセキュリティ部門を組織し、情報システムセキュリティレベル保護チームを設立して、お客様のウェブサイトに対して包括的なウェブサイトセキュリティテスト、ウェブサイト脆弱性テスト、ネットワークセキュリティ脆弱性テストを実施しました。まず、お客様のウェブサイトの情報システム状況をご紹介します。

ウェブサイトはasp.net言語で開発され、データベースタイプはSQL Server 2008、SiteFactory Dynamic CMSシステムであり、ウェブサイトの実行にはAlibaba Cloudの仮想ホストG Share Host-G1モデルが使用されています。プログラムコード、画像、データベースを含むウェブサイトの総データサイズは合計2.3Gを占めています。当社は、データの損失を防ぎ、より大きな経済的損失を回避するために、まずウェブサイトの安全なバックアップを実行します。

顧客は、脆弱性の詳細を記載した添付ファイルをインターネット監視チームに提供しました。それを確認すると、添付ファイルには、Web サイトの IAA ディレクトリにトロイの木馬バックドア ファイルがあることが示されていました。すぐに FTP にログインして確認したところ、確かにそのようなファイルがありました。手動のセキュリティ監査により、コードは aspx の 1 文のトロイの木馬バックドアであることが判明しました。

このコードは非常に隠蔽性の高い一文バックドアであり、すべてのウイルス対策ソフトウェアの検出を通過しています。一文の aspx バックドアの強力な機能により、Web サイトを完全に制御し、アップロード、ダウンロード、および変更できます。

事件前、ウェブサイトシステムは正常に稼働しており、改ざんの兆候は見られなかった。ウェブサイトのホームページは悪意を持ってリダイレクトされておらず、Baiduスナップショットのハイジャックや改ざんなどの問題もなかった。その後、SQL インジェクション テスト、XSS クロスサイト セキュリティ テスト、フォーム バイパス、ファイル アップロード脆弱性テスト、ファイル インクルード脆弱性テスト、Web ページ トロイの木馬検出、Web ページ バックドア トロイの木馬検出 (ワン センテンス ポニー、aspx ポニー、スクリプト トロイの木馬バックドアを含む)、機密情報漏洩テスト、任意のファイル読み取り、ディレクトリ トラバーサル、弱いパスワード セキュリティ テストなど、Web サイト上のすべてのファイル、コード、画像、データベース コンテンツに対して詳細なセキュリティ テストと比較を実施しました。

では、このファイルを見つけたら、どの抜け穴によってトロイの木馬ファイルがアップロードされたのかを調べるために、Web サイトを分析する必要があるのでしょうか?

検出された情報システムのセキュリティ脆弱性をまとめました。

1. 検出の結果、ウェブサイトのルート ディレクトリにある Global.asax ファイルが改ざんされていることが判明しました。コードを通じて、コードに悪意のあるコードが埋め込まれていることが判明しました。悪意のあるコードは、主要な検索エンジンのスパイダーをハイジャックして悪意のあるコンテンツを収集し、検索用語をランク付けするために使用されます。呼び出された URL のソースをトレースしたところ、URL が解決されなくなっていたことがわかりました。つまり、コンテンツにアクセスできず、検索エンジンのスパイダーによってクロールされません。

2. 検出により、ウェブサイトのバックエンド ファイル アップロードに脆弱性が見つかりました。この脆弱性により、aspx トロイの木馬ファイルのアップロードを含む、あらゆるファイルがアップロードされる可能性があります。ログイン後、システム設定を開き、テンプレート タグ管理を開き、埋め込みコードを追加し、aspx トロイの木馬ファイルを生成するコードを生成してください。

3. バックエンド管理者アカウントのパスワードのセキュリティリスク。多くのアカウントでは、LEO パスワード LEO2011 など、数字と文字を組み合わせた比較的単純なパスワードが使用されていますが、これは攻撃者によるブルートフォース攻撃で簡単に推測できます。

4.バックエンド管理ログインアドレスパスのデフォルトセキュリティ脆弱性情報システムのセキュリティ脆弱性の修復と強化：

上記のウェブサイトの脆弱性に対して、包括的なセキュリティ修復と強化を実施し、IAA ディレクトリ内の 9di5s.ashx トロイの木馬バックドア ファイルとルート ディレクトリ内の Global.asax ファイルを削除し、対応するウェブサイト ディレクトリにスクリプト実行権限を設定していません。これらのディレクトリでは、aspx、ashx、asp、asa などのスクリプト ファイルの実行が許可されません。 アップロード脆弱性に対処するため、アップロードディレクトリのスクリプト実行権限を制限し、トロイの木馬ファイルがアップロードされても実行できないようにしました。ウェブサイトの管理者パスワードは数字+大文字と小文字+特殊記号に変更され、13桁のパスワード要件を満たしています。パスワードは推測されにくくなり、ウェブサイトのデフォルトのバックグラウンドアドレスが変更され（内部の担当者のみが知っている）、攻撃者に推測されるのを防ぎます。

この時点で、詳細な情報システムセキュリティレベル保護是正レポートとウェブサイトセキュリティインシデント調査および処理記録シートを作成し、顧客に引き渡しました。顧客はそれを北京市公安局海淀支局インターネット監視部隊に引き渡しました。問題は無事解決されましたので、皆様にはネットワークセキュリティに十分注意していただき、無視しないことを心から願っております。

情報システムセキュリティレベル保護とウェブサイトセキュリティ保護対策の期限内是正通知書の書き方

1. 安全で安定したホスト サーバーを選択します。ホスト サーバーを選択したら、ホスト サーバー上の他の Web サイトを常にチェックして、その Web サイトのセキュリティを確認する必要があります。他の Web サイトもハッキングされた場合、私たちも巻き込まれ、自分の Web サイトが攻撃される可能性があります。

2. プログラムコードのプログラミングについてあまり詳しくない場合は、ネットワークセキュリティ会社を見つけて、ウェブサイトの抜け穴を修正し、情報システムのセキュリティレベル保護のために期限内に修正通知を書くことをお勧めします。国内では、SINE Security Company、Green Alliance Security Company、Venusstar Securityなどのウェブサイトセキュリティ会社をお勧めします。これらの会社は、ウェブサイトの安全で安定した運用を確保し、トロイの木馬によるウェブサイトのハッキングなどのセキュリティ問題を防ぐために、徹底したウェブサイトセキュリティサービスを提供しています。

3. ウェブサイトのパスワードはMD5強化暗号化を使用しており、パスワードを設定するときは、数字+大文字と小文字+特殊記号を組み合わせた12文字以上のパスワードを設定するようにしてください。

4. サーバー システムの脆弱性 (Windows 2008 2012、Linux CentOS システム)、Web サイト テンプレートの脆弱性、Web サイト プログラムの脆弱性を定期的に更新し、サードパーティの API プラグイン コードを使用しないようにします。また、サーバー上のウイルス対策ソフトウェアの必要性については説明する必要はないと思います。

5. 安全なコードを備えたウェブサイト システムを選択します。現在、CMS システムはモバイル インターネットの主流のトレンドです (PHP + MySQL データベース開発)。CMS システムを選択するときは、より主流のシステムを選択する必要があります。開発者は脆弱性の修正とパッチの更新を非常に効率的に実行し、アフター サービスも対応します。

この記事

原題：情報システムセキュリティレベル保護期限修正通知を受け取ったウェブサイトの問題を解決する方法

キーワード: ウェブサイトのセキュリティ