聚合支付攻击 订单劫持 数据库篡改的网站安全防护方案

临近春节，聚合支付平台被攻击篡改，导致客户提现银行卡信息被修改，支付订单被恶意回调，回调API界面数据也被篡改，用户管理背景随意登录，商家和代码订单自动确认数十万损失，平台攻击完全不可能，通过朋友，找到我们寻求网站安全保护支持，针对客户支付渠道和聚合支付网站攻击，篡改，我们立即成立网站安全应急小组，分析问题，找到漏洞，防止攻击篡改，减少客户损失。

我们分享了安全处理的解决过程，希望整个支付平台更安全。首先，我们安排了几位工作了十年的安全工程师来解决聚合支付平台受到攻击和篡改的安全问题，了解客户支付网站的症状和支付存在哪些漏洞。客户表示，这些问题在支付平台运营一个月后就出现了，然后在运营的第二个月就被攻击篡改了好几次。客户自己的技术被网站日志分析的攻击路线屏蔽后，支付在接下来的两个月里没有受到攻击。就在最近几天，支付订单被篡改，许多未付订单被篡改为成功支付，并从渠道返回成功数据，导致平台损失大。然后暂停支付渠道，联系代码提供商停止支付接口。客户还报告说，支付链接被劫持并跳转到其他人身上，导致许多支付订单被支付到攻击者的账户。损失是无法形容的。

许多商家和集团使用聚合支付平台，所以损失是商家和支付平台，商家有时小订单没有详细检查，包括支付平台没有仔细审计一些小订单，导致攻击者混淆视线模拟正常支付过程篡改订单状态以获得自己的利益。支付渠道对接，回调发行为秒，支付订单并发过大，几乎手动无法发现资金被盗，客户从渠道比较总支付账户，发现金额不平等，意识到网站被黑客入侵。

接下来，我们开始对客户的网站代码和服务器进行全面的人工安全审计，检测网站的漏洞和代码后门。客户网站使用它thinkphp mysql服务器系统是数据库架构linux centos使用宝塔面板作为服务器管理，我们包装并压缩了一个完整的聚合支付源代码，包括一个月的访问日志，下载到我们工程师的本地计算机，通过我们工程师的一系列安全测试和日志的可追溯性跟踪，发现了问题。该网站的木马后门也被称为webshell，在文件上传目录中发现，redmin.php的PHP脚本木马，还有coninc.php木马后门由数据库管理。

该数据库木马后门的功能是修改数据库的表面段。通过检查日志，发现订单支付状态被修改的原因是通过该数据库木马后门修改未付订单状态，绕过上游通道的回调接口数据返回，直接将状态改为成功支付，返回商户，向客户网站增加充值金额。攻击者直接在客户网站上消费和取款，所有损失均由支付平台承担。当我们的技术立即审计支付提交的功能代码时，我们发现存在SQL注入漏洞，是的UPDATE 恶意代码在数据库中执行，导致数据库内容可以修改，并生成远程代码下载到网站根目录生成webshell文件，TP架构本身也存在远程代码执行漏洞，这就是网站攻击和篡改的根源。我们立即对网站进行漏洞，这也是TP修复框架漏洞，防篡改网站文件目录，禁止任何安全部署PHP文件的生成。

继续安全测试我们发现客户网站商家和代码业务用户登录功能任意登录漏洞，程序员在编写代码过程中不判断用户状态，导致用户背景随机登录，攻击者可以登录背景确认未付订单，直接将订单设置为支付成功，返回商家网站，实现资金盗窃。我们修复了客户的背景登录功能，判断了用户的所有权限，以及数据库密码的效果。到目前为止，我们的技术已经清除了所有支付平台中的木马后门文件，包括网站漏洞，全面加固和防御网站，如果您的聚合支付，或支付渠道系统被篡改，攻击，建议找到专业的网站安全公司来解决处理，平台越安全，我们的支付越安全，资金就越安全。