可能重复:
我的服务器被黑了 紧急求助
在日志中我发现该网站被黑客扫描了几个小时,但我认为实际黑客攻击只持续了几分钟。
他以某种方式发现了我的所有文件,甚至没有在任何地方缓存的文件夹和文件,例如 robots.txt,甚至没有通过 google.com 看到,它只是我创建的随机文件名,我确信他不可能知道它们,那么他是如何找到它们的呢?
他使用的另一个技巧是,他找到了我用来将图片上传到主页滑块的 php 文件,然后他通过它上传了他的文件,我们称之为“hack.jpg”。但有趣的是,“hack.jpg”是几行 php 脚本,可以上传更多文件。而且他能够将 hack.jpg 文件作为 php 脚本运行,而无需将扩展名更改为 .php。他这样做一定是利用了服务器的某种漏洞?
服务器是 CentOS v5,WHM/Cpanel v12
答案1
您的帖子中没有足够的信息来告诉您是如何遭到黑客攻击的。
不过,我可以告诉您网站最常见的黑客行为之一:[PHP] 脚本允许您上传某些内容而无需正确转义用户输入。
如果你还没有这样做:恢复的方法是:
- 将被黑客入侵的服务器下线。
- 如果有备用硬件,请安装新主机(并确保它是最新的)。然后从备份中恢复
- 分析被黑客入侵的主机,以发现您是如何被黑客入侵的。
如果您没有多余的硬件,请保留被黑客入侵的服务器的图像以供分析。