不久前我收到了这封电子邮件:
hi there,
i am [name], security expert.
your website is not secured. you use a weak password. and you didnt install security to prevent hacking/malware attacks.
as proof, i upload a file: http://[site]/1337[name].html
dont worry. i didnt edit/change/delete anything of your wesbite. feel free to contact with me to fix security issue.
cheers
[name]
我检查了一下,文件确实存在,内容如下:
hi, i upload this file to proof that your website is not secure. please check your email.
cheers
这充斥着诈骗和网络钓鱼(尤其是糟糕的英语),但我很害怕这个我没有创建的文件出现在我的服务器上。
作为参考,我使用的是启用了 SSH 的 GoDaddy 共享托管服务器,并运行了一个 Wordpress 网站,其中包含一堆子目录,其中包含我曾参与过的各种网站个人项目,其中一些使用 PHP 进行数据库(和旧的 Facebook SDK)连接。该文件似乎是由我的 FTP 用户创建的。
这个人怎么可能把文件放到我的网站上?我该如何修补这个安全漏洞?我已经更改了我的 (S)FTP 密码。
答案1
有人可以在没有您的密码的情况下更改您服务器上的文件。此类注入攻击非常常见。
确保您的 Wordpress 和 PHP 安装是最新的。您的插件或主题也可能存在漏洞。请确保它们也是最新的,并确保禁用您不需要的任何插件/主题。