- A+
今天有客户联系我们 360°网站安全加固 说自己的网站惨遭黑客入侵并恶意植入代码,经过我们的检查发现是利用过时的主题和插件中存在的漏洞造成
恶意代码是怎么进一步作恶的呢?它会把曾访问过受感染网站的用户,筛选出来,并将用户重定向到技术支持的诈骗网站。例如:利用 Google Chrome 的 “evil cursor” 漏洞,阻止用户关闭恶意网站。
客户使用的是 WordPress 网站劫持这个月初就出现了苗头,尤其最近几天感染的Wordpress网站数量不断递增。谷歌中搜索结果发现,攻击的 JavaScript 恶意代码多达2,500多条,这其中只占攻击网站总数的一小部分。
说到网站插件,不能随便安装的,建议且最安全的安装做法是从官方那里下载获取新的代码,避免恶意代码脚本植入。
简单的被黑后的工作检查处理流程:
这几种情况是我们常遇见的,菜鸟的你当服务器被黑阔撸过了,你肿么办(肯定不会凉拌,再垃圾也是服务器嘛:D,也是自己使用的)?我们可以根据以上的情况,去做相对于的对策和检测。以下是我自己总结的,若有雷同纯属意外:
1.服务器被干掉了,第一我要做的是,开发的系统都先暂时关闭,系统账户密码都修改一遍,请改之前还要检查服务器是否存在木马等。以免被黑阔给你GetHash(通过某种手段获取系统密码的hash值并进行破解得出明文密码)或明文(那你白干了,黑阔笑嘻嘻,心想你个傻鸟我再监听你呢)
2.检查系统是否有多余的账户,一般有手工和工具检查,我这里指谈思路,具体要做你自己去实现,比如可以查C:DocumentsandSettings这里,要是创建新账户登录3389后悔在这里生成和账户名对应的文件夹,哪怕是神马带$的隐藏账户,还有注册表里也要好好检查,不懂就工具吧,百度那么好
3.检查系统开放的端口,自己熟悉的端口就先不管,有陌生的就要查一下,到底是什么程序再使用,有时候可以检查出木马或者后门使用的端口,把没必要的端口都关闭了,避免意外事故
4.检查日志,菜鸟级别的一般没办法清理掉一些日志,可以好好看看,比如IIS,WEB系统自带的日志功能,系统日志等,这能分析出黑阔都干了神马坏事,以及你的服务器是怎么被干掉
5.检查系统各个盘符的以及关键目录的操作权限,比如某2B管理给我搞了服务器,E盘原本没权限,后来我改为everyone,而恰好他又不去检查,那只要我webshell在的话,权限就很大,尤其配合一些提权工具,那是爽歪歪了
6.使用杀毒安全软件,这个是为了全盘扫描木马(EXE和脚本以及其他),查杀木马和修复系统漏洞,至于选择神马杀毒软件,大家自己找,我也不推荐免得被说是枪手,这年头当好人很难的
7.web系统的脚本后门要好好检查,一般看看文件操作时间(不过文件时间是可以改滴),用工具审核,还有人工审核,没能力的找基友,找熟人,还有一种是提前备份好各个系统,出了问题后,把两个文件打包到本地用BeyondCompare对比分析,当然其他对比分析工具也可以,确保剔除掉黑阔的脚本,另外能找到自己web系统的漏洞最好了,如果你知道黑阔怎么搞你的web系统那你就对应修复吧,记得还有那些变异扩展的脚本也要留意下。
8.安装waf软件,虽然不能保证100%防护,但至少给黑阔搞你服务器增加不少困难,也可以阻挡一批所谓的脚本小子。
做好这些之后,剩下的还要自己给服务器加固,哪里被搞了,哪里就应该多留意下,具体的加固,大家自己找资料参考吧,这个是题外话,何况我这菜逼的菜鸟也不是专搞这个的,所以基友就别为难我,我只能略懂一些,各种账户密码设置复杂一些,而且不同的账户使用不同的密码,必备被社工了,社工太强大了,不是你所想象得到的,服务器各目录严格分配,可以参照下星外,还有其他的参考文献,没事看看日志,监听下流量,监听下端口,黑阔要在你服务器干坏事,肯定会有不少动静,只要稍微留意一下细节的东西。
- 微信 wzgj360
- 联系免费答疑
-
- QQ 613049615
- 联系免费答疑
-
