假如你得網站被入侵了你會怎麼辦?
阿新 • • 發佈:2022-04-20
這幾天真是遇到Dog了,網站持續被有’猿‘人掃描;
平時會在 部落格上分享一些小知識,然後便於自己回憶也一定程度上能幫助遇到同樣問題的盆友,
但就在前幾天偶然看到網站訪問日誌上有陌生ip在頻繁訪問後臺路徑(圖一),
個別ip看起來很‘洋氣’! 不知道是買了幾個代理ip還是真就是國際友人?然後阿里雲的警告郵件就發過來了... ;
-----------------------------------------------------------
第一感覺是這個介面還是很酷炫的;
但是仔細翻看後就覺得後背發涼,因為這個檔案是有許可權刪除檔案的,只要操作者有想法,就可以把檔案全刪光(盲猜這位“黑客”也想到刪檔案人家萬一有備份不就不起作用了);
巧的是我就是每三天備份一次,保留最新的三次備份;
平時會在 部落格上分享一些小知識,然後便於自己回憶也一定程度上能幫助遇到同樣問題的盆友,
但就在前幾天偶然看到網站訪問日誌上有陌生ip在頻繁訪問後臺路徑(圖一),
個別ip看起來很‘洋氣’! 不知道是買了幾個代理ip還是真就是國際友人?然後阿里雲的警告郵件就發過來了... ;
-----------------------------------------------------------
咱雖說沒見過啥大世面但該有的常識還是有的,於是意識到俺的小破站被攻擊了,並且已經被傳了後門檔案;
當時就想見識一下啥叫黑客,於是就順著路徑打開了被傳檔案的地址,是長這個樣子的(圖三);
第一感覺是這個介面還是很酷炫的;
但是仔細翻看後就覺得後背發涼,因為這個檔案是有許可權刪除檔案的,只要操作者有想法,就可以把檔案全刪光(盲猜這位“黑客”也想到刪檔案人家萬一有備份不就不起作用了);
巧的是我就是每三天備份一次,保留最新的三次備份;
最後我的處理方法就是
:把全站檔案克隆到本地 用 D盾 掃描一遍發現有三處檔案是存在異常的;
其中最為隱蔽的是首頁被植入了跳轉程式碼,大概邏輯就是判斷你的上一個頁面是否是搜尋引擎,
如果符合條件就跳轉至它設定的地址並且網址後的查詢字串攜帶了本站的特徵資訊(域名,訪問者ip等等),
後來梳理了一下,
應該是因為使用了非官方的外掛 被不法分子利用了。
查了一下log日誌 比較可疑的ip都已經記錄留檔 如果造成損失就當線索彙報給警察叔叔了哦, 附上某一個可疑ip的大概地址,只是大概。
。。。Oo0.0oo.0o6o09o。