网站被黑客入侵,需要帮助寻找有关其发生原因的线索

网站被黑客入侵,需要帮助寻找有关其发生原因的线索

我意识到有人成功入侵了我的 drupal 安装,并成功修改了我的文件,并注入了 JavaScript 代码

被黑客入侵的文件是:jquery-1.9.1.min.js,这是我之前下载的通用 javascript 库文件(干净,没有黑客代码)

我现在清理了文件但是我想知道这个人是怎么进来的?

还有另一件非常奇怪的事情,尽管代码是最近才添加到文件中的,但文件的最后修改日期多年来一直保持不变,有人是否可以入侵该网站,然后更改最后修改日期以掩盖他们的踪迹?

我的问题很简单,我应该从哪里开始寻找线索来发现安全漏洞?

答案1

我最好的猜测是通过易受攻击的 Drupal 版本或易受攻击的插件/自己的代码。

  • 如果这是您自己的服务器,请将其从网络上移除,以防止进一步的损害。

  • 如果不是您自己的服务器而是共享主机,问题可能仅限于您自己的帐户。请联系服务提供商确认,以检查这是否是更广泛的问题。

    1. 为防万一,请更改密码。查看是否没有添加 SSH 公钥。
    2. 从没有此问题的备份中恢复您的网站。这可能不是攻击者所做的唯一修改,但也可能安装了一些后门。
    3. 更新 Drupal 及其所有插件。删除不必要的插件也是个好办法。
  • 检查日志中是否有任何异常。这可能有助于将问题限制在某个插件/页面上。

  • 将恢复和升级的网站上线后,请定期检查该文件不会再次出现。

文件的时间戳不一定是它写入此服务器的时间。根据文件的上传方式,它可能保留了原始时间戳,该时间戳可能在上传前被手动修改,以使其在所有文件中更难找到。

相关内容