几个月前在 Ramnode 订购了 VPS
根据教程(CentOS 6.4 上的 ZPanelCP)http://www.zvps.co.uk/zpanelcp/centos-6 已安装 CentOS 和 ZPanel)
今天收到邮件
We are requesting that you secure and investigate the phishing website identified below.
This URL has been identified as a phishing site and is currently involved in identity theft activities.
URL: hxxp://111.11.111.111/www.connet-itunes.fr/iTunesConnect.woasp/ //IP is modified (not real)
This site is being used to display false or spoofed content in an apparent effort to steal personal and financial information. This matter is URGENT.
We believe that individuals are being falsely directed to this page and may be persuaded into divulging personal information to a criminal, if the content is not immediately disabled.
尝试理解。一些黑客入侵了 VPS,放置了一些文件(?),其内容重定向到 www.connet-itunes.fr/iTunesConnect.woasp?
然后问题
1) 我如何找到该文件?它可能位于哪里?url 是URL: hxxp://111.11.111.111/IP 地址,而不是域名
2)如何保护 VPS(使用 CentOS)?有教程吗?哪里可能存在安全问题?
我的意思是可能有人遇到过类似的事情......
只需注意,该目录 /folderwww.connet-itunes.fr放在我的网站目录中etc\zpanel\panel,而不是我的网站目录中。
答案1
一些黑客入侵了 VPS,放置了一些文件(?),其内容重定向到 www.connet-itunes.fr/iTunesConnect.woasp?
不,假设 111.11.111.111 是您的服务器,有人设法将一些文件放在您的服务器上,并使用该/www.connet-itunes.fr/iTunesConnect.woasp/路径进行访问。它不会重定向到www.connet-itunes.fr,只是让用户认为他们在该网站上。通常他们会发送看似官方的电子邮件(网络钓鱼),其中据称包含指向真实网站的链接。该链接实际上会转到托管在某个被黑的网络服务器(即您的服务器)上的虚假网站。该网站看起来像官方网站,并会要求他们提供一些敏感信息(将发送给黑客)。
我如何找到该文件?它可能位于哪里?url 是 URL:hxxp://111.11.111.111/ IP 地址,不是域名
这应该相当简单。首先,您只需在服务器上搜索“itunes”,如果他们确实创建了一个名为的目录www.connet-itunes.fr,就会找到它。或者,您的 IP 地址应该直接转到服务器上的默认网站。因此,无论您的默认网站的本地路径在哪里,都可以在那里查看。还要检查被黑客入侵的.htaccess文件,因为他们可能使用重写规则来尝试稍微伪装他们的文件。
2)如何保护 VPS(使用 CentOS)?有教程吗?哪里可能存在安全问题?
在大多数情况下,这是一个被黑客入侵的 Web 应用程序。Joomla 和 Wordpress 等流行程序的旧版本是黑客最喜欢攻击的目标。要检查的事项的快速(当然不是完整的)列表如下:
- 确保所有第三方应用程序都是最新的
- 如果你开发了自己的网站,请尽量确保没有漏洞,以免用户将不该上传的内容上传到不该上传的地方
- 防火墙禁止任何不需要从全球互联网访问的端口(SSH、FTP 等)
- 如果你确实提供互联网上的 FTP 等访问,请确保所有密码都是安全的
- 一般来说,如果可能的话,尝试将对更“危险”设施(数据库管理、管理控制台)的访问限制到仅需要能够访问这些功能的主机。