聚合支付被攻击 订单劫持 数据库被篡改的网站安全防护方案

临近春节，某聚合支付服务平台被攻击篡改，导致客户提现yhk账户被更改，支付指令信息被故意回调到函数，回调函数的APIsocket的数据信息也被篡改。随机登录客户后台管理系统，完全自动确定商家店铺及其编码员的订单信息，导致额度受损超过几十万，服务平台全面被攻击。根据盆友的详细介绍，找大家的SINE安全企业找网站安全防范的应用。对于客户的安全支付渠道和聚合支付网站，现阶段存在被网站攻击篡改的问题。我们立即成立网站安全应急处置工作组，分析问题，查找系统漏洞的根本原因，避免攻击和篡改，最大限度减少对客户的损害。

大家会分享这个安全解决方案的全过程，期待所有支付服务平台更加安全。首先，在接待客户的面上，Sinesafe指派了几名从事十年的安全工程师，承担这种聚合支付服务平台的攻击和篡改的安全风险，掌握客户现阶段支付网站的症状，以及支付中存在哪些系统漏洞。客户表示，支付平台运营一个月就出现了这种问题，然后运营第二个月就出现了几次攻击篡改的情况。客户自己的技术基础是网站日志分析系统。经过多方查堵，最近两个月支付没有被攻击。最近几天过年，支付订单信息被篡改，很多未支付的订单信息居然被篡改为支付成功，成功的数据信息从安全通道返回，对服务平台造成了很大的损害。随后，支付安全通道暂停，并联系编码人员终止支付套接字。客户还表示，支付连接被劫持，自动跳转到他人，导致大量已支付订单信息被支付到被网络攻击的账户。伤害真的无法形容。

很多商户店铺及其集团公司使用聚合支付服务平台，既损害了商户店铺，也损害了支付服务平台。在某些情况下，商家店铺没有详细核对小额订单信息，包括支付服务平台，也没有认真审核一些小额订单信息的财务信息，导致网络攻击混淆视觉，模拟所有正常的支付流程篡改订单信息，以获取自身权益。支付通道接通，回拨功能秒发，支付指令信息高且复杂。基本上人力根本察觉不到资产被盗。客户从安全渠道对比聚合支付总账发现金额不对等，进而意识到网站被黑客入侵。

接下来我们就开始对客户的网站进行编码，对其服务器虚拟机进行全方位的人网安全审计，检查现阶段网站的系统漏洞和编码侧门。客户网站使用thinkphpmysql数据库查询框架，网站服务器是linuxcentos应用pagodapanel作为网络服务器的管理方式。我们打包了包，减少了一个详细的聚合支付源代码。网站的浏览系统日志，包含一个月的，也已经减少了，免费下载到我们SINE安全工程师的本地电脑。根据我们技术工程师的一系列测试服务和系统日志的追踪，我们发现了问题。含有木马病毒的网站侧门也叫webshell。它是在上传文件的目录中找到的。redmin.php的php脚本制作木马病毒，coninc.php的数据管理侧门也有木马病毒，如下图所示:

这个数据库查询木马侧门的作用就是可以改变数据库查询的表段。根据验货系统日志，之所以更改支付订单信息，是基于这个数据库查询木马侧门。更改未支付订单信息数据库查询，绕过上下游安全通道回调函数socket数据信息，立即将情况更改为支付成功，回商家店铺时将在线充值金额添加到客户网站。网络攻击立即消费并提取客户网站上的现金，并造成所有损害。人人信安全生产技术随后发现，在对支付提交功能代码进行网络安全审计的情况下，存在一个SQL导入系统漏洞，能够对数据库查询更新恶意程序，导致数据库查询内容被更改，并形成远程控制代码免费下载到网站根目录，形成webshell文档。TP架构本身也有一个远程控制代码执行系统的漏洞。这个网站被攻击篡改的根本原因就在于此。大家马上恢复了这个网站系统的漏洞，也算TP架构系统的漏洞。网站文件名部署了防篡改安全，严禁一切PHP文档的形成。