.htaccess 文件被黑客入侵,如何防止将来再次发生这种情况?

tag-icon tag-icon .htaccess redirect wordpress hacking godaddy
.htaccess 文件被黑客入侵,如何防止将来再次发生这种情况?

黑客在 .htaccess 文件中添加了代码,将所有搜索引擎流量重定向到恶意软件网站。我现在正在调查此事件并试图找出安全漏洞。我的情况与这个人的情况几乎相似 -.htaccess 屡屡遭黑客攻击

以下是 FTP 日志中入侵尝试的示例 -

    Aug  6 02:43:31 sg2nlftpg002 [30887]: ([email protected]) [INFO] FTPUSER is now logged in
    Aug  6 09:43:33 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded  (846 bytes, 106.37KB/sec)
    Aug  6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded  (1435 bytes, 3.32KB/sec)
    Aug  6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [INFO] Logout.

这与我常规的登录尝试有很大不同 -

    Aug  7 10:57:53 sg2nlftpg002 [11713]: session opened for local user FTPUSER from [my.ip.address]
    Aug  7 10:58:28 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 1435 written 0
    Aug  7 11:14:29 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 0 written 846
    Aug  7 11:14:55 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 846 written 0
    Aug  7 12:08:03 sg2nlftpg002 [11713]: session closed for local user FTPUSER from [my.ip.address]

我已经查看了 HTTP 流量日志,但没有发现任何可疑的内容。

其他可能有用的信息:

  • 我在共享主机上,网站运行在 WordPress、BuddyPress 和其他流行插件上。
  • 据我所知,我控制的所有软件都使用最新版本并定期更新。
  • 我使用强密码并定期更新。仅使用 PUTTY 通过 SFTP 和 SSH 访问网站。
  • 我的本地机器没有病​​毒。

我的问题是如何防止将来再次发生此类攻击?

更新

答案1

如果他们通过 FTP 登录,那么您的用户帐户密码就会被泄露,他们只是通过 FTP 上传修改后的文件。审核所有使用您的帐户密码进行密码收集恶意软件的地方,然后将密码更改为安全的密码。还可以考虑使用无密码的身份验证方法(例如 SSH 公钥),但如果您的开发机器充满了恶意软件,它可能会窃取密钥。

答案2

正如前面提到的,您的 FTP 详细信息很可能已被泄露(通常是从我发现的某处受感染的 Windows 台式电脑泄露)。

我过去曾测试过这一点,故意用错误的密码从一台可疑的 PC 上登录,结果发现 15 分钟后,其他人又从外部 IP 地址尝试用相同的错误密码登录。显然,受感染的 PC 正在嗅探密码并将其传回母机。

最实际的做法是限制人们从防火墙登录 FTP 的位置。在这种情况下,密码复杂性或加密可能对您没有好处,因为密码是在源头被盗,而不是在之后被猜测或拦截。

在 iptables 中类似下面的操作可以工作:

iptables -I 输入 -p tcp --dport 21 -s !XXXX -j DROP

(其中 XXXX 是您的办公室/家庭的 IP,連接自)。

答案3

您是否使用 Total Commander 进行 FTP 访问?我的朋友感染了一种病毒,该病毒收集了 TC 的所有密码。

答案4

我遇到了一个严重的问题,有人入侵了我的 .htaccess 文件,我唯一的解决方案就是让文件无法被入侵。首先,我清理了 .htaccess 文件和所有被入侵的 PHP 文件。然后,我将 .htaccess 文件的文件权限更改为 444(644 仍然允许访问)。然后,我使用 shell 访问我的帐户,使文件“不可变”,这意味着它无法更改!

当您在 Linux 服务器上拥有对帐户的 shell 访问权限时,请输入以下内容:# chattr +i .htaccess

现在,即使具有 root 权限的人也无法更改该文件!

如果您需要撤消此操作,请输入:# chattr -i .htaccess

如果您无权访问您的帐户的 shell,请询问您的网站主机是否可以为您输入此信息,以使文件不可变。

相关内容