来源: ecshop首页被篡改为博彩站,网站被黑怎么处理? 宝塔linux下ecshop 和WordPress的安全防护-木木资源博
最近收到几个博友的求助,Ecshop网站被博彩网站篡改,跳转到博彩网站,现象如下:
这确实是一个令人头疼的问题,网站被攻击,被篡改主页甚至被恶意删除源码让很多中小站长恐慌,是谁在攻击自己?如何攻击的?该如何防御?由于技术限制让很多草根站长束手无策,那么网站被黑,应该如何处理呢?
一、博主用的是宝塔linux面板,那我们就从宝塔面板的安全防护开始说起:
1、为你的宝塔面板绑定一个复杂的三级域名,并修改宝塔默认端口 比如 bt.XX.XXXX.com:33521
2、为你的宝塔面板设置一个复杂的登录账号和密码,包含大小写和特殊符号,(主要是为了防止黑客通过MD5解密,获取你的账号和密码),如果你不懂,跟着我设置就可以了,如果感兴趣可以百度去了解。
3、因为很少用,关闭你的SSH,如果你经常用到,需要修改SSH端口;修改你的FTP端口,不要默认的21.
4、禁止ping,防止黑客嗅探你的服务器IP
5、建议安装宝塔的付费插件 nginx或者apache防火墙,虽然拦截率不会100%,针对一些“草根黑客”还是挺有效的。
6、建议安装 云锁巡查,一单网页被篡改,被渗透你可以第一时间查找,删除。您可以参考西部数码:http://faq.myhostadmin.net/faq/listagent.asp?unid=2093 安装云锁进行防护
7、mySQL数据库默认端口3306,改为61116,并加入到端口安全策略,不对外开放,外网IP无法连接数据库,只有本地127.0.0.1才能进行连接数据库,以防止攻击者恶意猜测。
8、留好你的网站日志,不要当个强迫症,随时清理!(后面讲重要性)
经过以上操作,你的宝塔面板相对是很安全的,如果大家有什么需要补充的,可以在下方继续留言……
二、问题出在Ecshop上,我们聊聊Ecshop的安全防护
Echsop近几年爆出的安全漏洞非常多,Ecshop cms操作的技术人员,技术水平也参差不齐,再加上Ecshop是一款相对来说比较老的开源商城程序,深入研究这套程序的技术人员也少,相关的技术文档,漏洞补丁修复相对滞后,目前可修复的漏洞《ecshop中毒怎么办?以下补丁你打了吗?关于ecshop中sql注入漏洞修复》参考这篇文章进行修复,除此之外我们可以进行以下操作来进行防御:
1、Ecshop修改后台路径,包括手机端,设置复杂的账号密码,防止黑客通过MD5解密,轻松获取后台密码
2、最好只保留一个后台账号密码,不方便的话,分权的账号密码也要重视,别随便写个“名字+888”,你懂得
3、后台,商店设置-基本设置,附件上传大小,修改为0
4,不要在一些技术论坛或者博客中乱发网址,树大招风
三、Wordpress网站安全防护设置
1.升级到WordPress最新版
只从WordPress官方下载源码,不要到第三方网站下载。尽可能升级到WordPress最新版,及时修补程序漏洞,包括WordPress核心源码、WordPress主题以及WordPress插件。
2.使用官方WordPress主题和插件
这里所说的官方,一是WordPress官方,二是主题或插件开发者的官方,尽量避免使用“破解”版主题、插件,慎用网上传播的原本是收费,但是被人恶意提供免费下载的主题、插件。
3.修改数据库默认前缀wp_
很多朋友安装WordPress都没有修改数据库前缀,如果你打算修改默认的前缀wp_,请根据如何修改WordPress数据库前缀来修改。
4.修改默认的用户名admin
WordPress3.*以上已经支持安装时自定义登录用户名,如果你使用默认的admin,建议你根据下面的方法进行修改:
方法一:后台新建一个用户,角色为管理员,然后使用新用户登录,删除默认的admin用户。
方法二:登录phpmyAdmin,浏览当前数据库的wp_users数据表,将user_login和user_nicename修改为新用户名。同时建议修改“我的个人资料”中的的昵称,然后设置“公开显示为”非用户名的其他方式:
5.使用高级密码,经常更换密码
建议使用含大写字母、小写字母、数字和其他符号的复杂密码,比如nuH4j&*aHG%dMz,避免使用生日、手机号、QQ号等。
6.隐藏WordPress版本信息
默认情况下会在头部输出WordPress版本信息,你可以在主题的functions.php最后一个?>前面添加:
//隐藏版本号
7.修改wp-admin目录的访问权限
你可以通过限定IP地址访问WordPress管理员文件夹来进行保护,所有其他IP地址访问都返回禁止访问的信息。另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。
以上简单的配置都是基于你勤奋的数据备份,及时被黑掉,也可以随时挽救……….
四,亡羊补牢,为时未晚:真的被黑了,我该怎么办?
上面讲到,不要乱删网站日志,网站日志是分析网站漏洞和攻击源的组好的工具
网站访问日志是存放于服务器里的一个目录里:
IIS默认是存放于C:/windows/system32/里的子目录下,日记记录了网站的所有访问记录,包括了网站的各种访问信息,访客的信息,比如IP,浏览的网址,访客的浏览器属性,以及访问的方式是以GET POST还是COOKIES,统统的都记录在网站访问日志里。
apache访问日志,主要是存放于apache安装目录下的access.log文件,LOG文件会实时的记录所有的网站访问记录,以及访问者的IP等等信息。就好比我们访问https://www.liulinblog.com的时候,access.log日志就会出现以下记录:
60.58.118.58 - - [11 / SEP / 2018:06:18:33 +0200]“GET www.liulinblog.com/ HTTP / 1.1”200 “ - ”“Mozilla / 6.0(Windows NT 8.0; WOW64; rv:33.0) Gecko / 20170911 Firefox / 35.0
我来说一下上面这个访问记录是什么意思吧,记录了一个60.58.118.58 的IP,在2018年9月11日的早晨6点18分访问了www.liulinblog.com网站的首页,并返回了200的状态,200状态就是访问成功的状态。
如果我们没有网站日志文件,那我们根本就不知道谁访问了我们网站,以及他访问了我们网站的那些地址。
下面我们讲讲通过网站日志,如何分析我们的网站是如何被黑的,通过哪些页面被黑的:
当我们发现客户网站被攻击后,我们立即暂停了网站,以便于我们进行详细网站安全检测与审计。
我们查找了网站的日志,包含了一个星期的日志文件,下载到我们的本地。
在查询网站如何被攻击前,我们要知道哪些数据是对我们有用的,一般来讲,黑客的入侵痕迹,以及攻击的文件特征,以及攻击语句,包含SQL注入漏洞,XSS跨站攻击,以及后台访问并上传木马等行为特征,从这些方面去入手我们会尽快的查找到黑客的攻击IP、并以此为根据,查找到黑客到底是怎样攻击了客户的网站。
打开我们下载好的日志文件,会看到很多很多日志记录,如果网站访问客户多的话,会有上千,也会有上万,我们来看一下网站的访问日志:
从上图可以看出,这个代码是执行了SQL注入语句,并查询了网站的后台管理员账号以及密码,导致被黑客知道密码,然后登陆了后台,并篡改了网站的内容。
从上面可以看出,黑客的攻击很有明显性,在前期他会自动扫描一些有问题的文件,并找出来然后再针对性的攻击,在黑客攻击的同时会留下许多入侵攻击的痕迹,我们仔细发现都会找到的,在网站被攻击后,千万不要慌静下心来分析网站的日志,查找攻击证据,并找到漏洞根源,修复网站漏洞。
先聊到这把,有问题欢迎底部留言…………