ecshop首页被篡改为博彩站，网站被黑怎么处理？ 宝塔linux下ecshop 和WordPress的安全防护-木木资源博

来源： ecshop首页被篡改为博彩站，网站被黑怎么处理？ 宝塔linux下ecshop 和WordPress的安全防护-木木资源博

最近收到几个博友的求助，Ecshop网站被博彩网站篡改，跳转到博彩网站，现象如下：

这确实是一个令人头疼的问题，网站被攻击，被篡改主页甚至被恶意删除源码让很多中小站长恐慌，是谁在攻击自己？如何攻击的？该如何防御？由于技术限制让很多草根站长束手无策，那么网站被黑，应该如何处理呢？

一、博主用的是宝塔linux面板，那我们就从宝塔面板的安全防护开始说起：

1、为你的宝塔面板绑定一个复杂的三级域名，并修改宝塔默认端口 比如 bt.XX.XXXX.com:33521

2、为你的宝塔面板设置一个复杂的登录账号和密码，包含大小写和特殊符号，（主要是为了防止黑客通过MD5解密，获取你的账号和密码），如果你不懂，跟着我设置就可以了，如果感兴趣可以百度去了解。

3、因为很少用，关闭你的SSH，如果你经常用到，需要修改SSH端口；修改你的FTP端口，不要默认的21.

4、禁止ping，防止黑客嗅探你的服务器IP

5、建议安装宝塔的付费插件 nginx或者apache防火墙，虽然拦截率不会100%，针对一些“草根黑客”还是挺有效的。

6、建议安装 云锁巡查，一单网页被篡改，被渗透你可以第一时间查找，删除。您可以参考西部数码：http://faq.myhostadmin.net/faq/listagent.asp?unid=2093 安装云锁进行防护

7、mySQL数据库默认端口3306，改为61116，并加入到端口安全策略，不对外开放，外网IP无法连接数据库，只有本地127.0.0.1才能进行连接数据库，以防止攻击者恶意猜测。

8、留好你的网站日志，不要当个强迫症，随时清理！（后面讲重要性）

宝塔面板安全配置示意图

经过以上操作，你的宝塔面板相对是很安全的，如果大家有什么需要补充的，可以在下方继续留言……

二、问题出在Ecshop上，我们聊聊Ecshop的安全防护

Echsop近几年爆出的安全漏洞非常多，Ecshop cms操作的技术人员，技术水平也参差不齐，再加上Ecshop是一款相对来说比较老的开源商城程序，深入研究这套程序的技术人员也少，相关的技术文档，漏洞补丁修复相对滞后，目前可修复的漏洞《ecshop中毒怎么办？以下补丁你打了吗？关于ecshop中sql注入漏洞修复》参考这篇文章进行修复，除此之外我们可以进行以下操作来进行防御：

1、Ecshop修改后台路径，包括手机端，设置复杂的账号密码，防止黑客通过MD5解密，轻松获取后台密码

2、最好只保留一个后台账号密码，不方便的话，分权的账号密码也要重视，别随便写个“名字+888”，你懂得

3、后台，商店设置-基本设置，附件上传大小，修改为0

4，不要在一些技术论坛或者博客中乱发网址，树大招风

三、Wordpress网站安全防护设置

1.升级到WordPress最新版

只从WordPress官方下载源码，不要到第三方网站下载。尽可能升级到WordPress最新版，及时修补程序漏洞，包括WordPress核心源码、WordPress主题以及WordPress插件。

2.使用官方WordPress主题和插件

这里所说的官方，一是WordPress官方，二是主题或插件开发者的官方，尽量避免使用“破解”版主题、插件，慎用网上传播的原本是收费，但是被人恶意提供免费下载的主题、插件。

3.修改数据库默认前缀wp_

很多朋友安装WordPress都没有修改数据库前缀，如果你打算修改默认的前缀wp_，请根据如何修改WordPress数据库前缀来修改。

4.修改默认的用户名admin

WordPress3.*以上已经支持安装时自定义登录用户名，如果你使用默认的admin，建议你根据下面的方法进行修改：

方法一：后台新建一个用户，角色为管理员，然后使用新用户登录，删除默认的admin用户。

方法二：登录phpmyAdmin，浏览当前数据库的wp_users数据表，将user_login和user_nicename修改为新用户名。同时建议修改“我的个人资料”中的的昵称，然后设置“公开显示为”非用户名的其他方式：

5.使用高级密码，经常更换密码

建议使用含大写字母、小写字母、数字和其他符号的复杂密码，比如nuH4j&*aHG%dMz，避免使用生日、手机号、QQ号等。

6.隐藏WordPress版本信息

默认情况下会在头部输出WordPress版本信息，你可以在主题的functions.php最后一个?>前面添加：

//隐藏版本号

　functionwpbeginner_remove_version(){

　　return'';

　　}

　　add_filter('the_generator','wpbeginner_remove_version');

7.修改wp-admin目录的访问权限

你可以通过限定IP地址访问WordPress管理员文件夹来进行保护，所有其他IP地址访问都返回禁止访问的信息。另外，你需要放一个新的.htaccess文件到wp-admin目录下，防止根目录下的.htaccess文件被替换。

四，亡羊补牢，为时未晚：真的被黑了，我该怎么办？

上面讲到，不要乱删网站日志，网站日志是分析网站漏洞和攻击源的组好的工具

网站访问日志是存放于服务器里的一个目录里:

IIS默认是存放于C:/windows/system32/里的子目录下，日记记录了网站的所有访问记录，包括了网站的各种访问信息，访客的信息，比如IP，浏览的网址，访客的浏览器属性，以及访问的方式是以GET POST还是COOKIES，统统的都记录在网站访问日志里。

apache访问日志，主要是存放于apache安装目录下的access.log文件，LOG文件会实时的记录所有的网站访问记录，以及访问者的IP等等信息。就好比我们访问https://www.liulinblog.com的时候，access.log日志就会出现以下记录：

60.58.118.58  -   -  [11 / SEP / 2018：06：18：33 +0200]“GET www.liulinblog.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0（Windows NT 8.0; WOW64; rv：33.0） Gecko / 20170911 Firefox / 35.0 

我来说一下上面这个访问记录是什么意思吧，记录了一个60.58.118.58 的IP，在2018年9月11日的早晨6点18分访问了www.liulinblog.com网站的首页，并返回了200的状态，200状态就是访问成功的状态。

如果我们没有网站日志文件，那我们根本就不知道谁访问了我们网站，以及他访问了我们网站的那些地址。

下面我们讲讲通过网站日志，如何分析我们的网站是如何被黑的，通过哪些页面被黑的：

当我们发现客户网站被攻击后，我们立即暂停了网站，以便于我们进行详细网站安全检测与审计。

我们查找了网站的日志，包含了一个星期的日志文件，下载到我们的本地。

在查询网站如何被攻击前，我们要知道哪些数据是对我们有用的，一般来讲，黑客的入侵痕迹，以及攻击的文件特征，以及攻击语句，包含SQL注入漏洞，XSS跨站攻击，以及后台访问并上传木马等行为特征，从这些方面去入手我们会尽快的查找到黑客的攻击IP、并以此为根据，查找到黑客到底是怎样攻击了客户的网站。

打开我们下载好的日志文件，会看到很多很多日志记录，如果网站访问客户多的话，会有上千，也会有上万，我们来看一下网站的访问日志：

通过网站日志分析黑客攻击

通过网站日志分析黑客攻击

先聊到这把，有问题欢迎底部留言…………