今天老板收到了阿里发来的短信,提示网站有 WebShell,由于没有购买阿里的服务,因此 WebShell 只是被检测出来,而没有被处理掉,因此想要处理需要自行解决。
我通过分析日志,找到了黑客利用的网站的漏洞,在本地进行了测试,并成功复现。但是由于服务器权限的缘故,其实黑客并没有利用成功。后来通过在网上的搜索,发现这个漏洞比较早,已经有了处理的方法,就进行了简单的处理。
这是我今天经历的事情。
当然了,今天想要说的并不是这个事情,而是另外一个事情。这是我在一个公众号看到的,如下:
在这篇文章中,网站的负责人没有对网站的安全做好相关的防护,导致网站页面被篡改,因此给网站负责人自己带来了麻烦。因此对于网站的站长还是把自己的网站照顾好。
下面我转载一下相关的网络安全法,希望可以帮助那些尚未了解网络安全法的各位站长可以引起注意。
《中华人民共和国网络安全法》第二十一条:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
《中华人民共和国网络安全法》第五十九条第一款:
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。(以上信息转自:贵阳网警巡查执法)
最后,想想公司的网站只是存在相应的漏洞,由于服务器权限的设置,黑客并没有利用成功,如果被利用成功,且网站信息被篡改,还真是一件非常要紧的事情。作为老板,要有相应的法律意识,作为员工,有必要把事情的严重性讲给老板。大家都各尽其责,看好自己的一亩三分地吧。
我的微信公众号:“码农UP2U”
