可能重复:
我的服务器被黑了 紧急求助
有人能够破解我的 Wordpress 3.2.1 安装,以管理员身份访问控制面板并篡改主题的 index.php 文件。他没有删除网站的任何文件,也没有造成更多损害(我不确定他是好心还是只是获得了有限的访问权限)。
我的问题是如何追踪问题的原因?我所知道的是,在网站被黑客入侵之前,我收到了一封来自 wordpress 的电子邮件,说我请求更改管理员密码。
知道从哪里开始寻找吗?
谢谢,马什胡尔
答案1
首先要查看的是你的网络日志。查找 404 错误,其中包含奇怪的查询字符串,这应该可以为你提供帮助。
答案2
我的问题是如何追踪问题的原因?我所知道的是,在网站被黑客入侵之前,我收到了一封来自 wordpress 的电子邮件,说我请求更改管理员密码。
电子邮件会让您了解黑客攻击可能发生的时间以及密码重置功能是漏洞的一部分。
在哪里查看?基本上,您可以从服务器日志开始。当时执行了哪些请求?查找 POST 和 GET 请求,有些服务器实际上会记录 POST 数据,这可能有助于了解更多信息,尽管情况并非总是如此。
一旦攻击者获得您博客的管理员权限,他/她通常可以修改 wordpress 设置上的所有文件。这是 wordpress 中自动更新实现的代价,因为大多数文件必须是可访问的。然而,在安全设置中,文件是只写的。此信息可能有助于了解如何进行黑客攻击以及如何在将来防止它。
另外,请查找 3.2.x 系列中的 wordpress 更新或降级到 3.1.4,3.2.1 相当新,尚未经过实际测试,尤其是对于漏洞利用。
另一种追踪方法是设置一个蜜罐,使用相同的配置,启用完整日志记录和通知,以便了解有关攻击的更多信息。许多攻击都是自动进行的,目的是发送垃圾邮件(或只是蠕虫),因此您可以使用蜜罐网站来检测此类攻击模式。当文件被更改或添加时,您就知道该网站受到了攻击。
答案3
我知道这是事后的事情,但请尝试安装 WordPress 文件监视器插件。至少以后你会知道哪些文件被更改了以及是否有文件被上传。