ecshop首页被篡改为博彩站,网站被黑怎么处理? 宝塔linux下ecshop 和WordPress的安全防护-木木资源博

来源: ecshop首页被篡改为博彩站,网站被黑怎么处理? 宝塔linux下ecshop 和WordPress的安全防护-木木资源博

最近收到几个博友的求助,Ecshop网站被博彩网站篡改,跳转到博彩网站,现象如下:

站长直接输入网址打开网站,网站不跳转,网站的TITLE貌似很正常;但是通过搜索引擎搜索关键词进入网站,网站会自动跳转到博彩站。自己辛辛苦苦通过SEO技术获取的流量,被博彩站劫持,造成了大量财产损失,降低了用户体验度,甚至直接被搜索引擎K掉!
这也提醒了站长们:没事搜一搜自己的站点,别通过网址直接进入,黑客会通过js欺骗手段,降低站长发现几率,提高自己的“存活率”
具体劫持和js欺骗跳转,大家可以参考这篇文章《记录一个木马:ecshop TDK被篡改为博彩站/劫持快照/ 劫持全站 自动跳转 黑帽seo技术

这确实是一个令人头疼的问题,网站被攻击,被篡改主页甚至被恶意删除源码让很多中小站长恐慌,是谁在攻击自己?如何攻击的?该如何防御?由于技术限制让很多草根站长束手无策,那么网站被黑,应该如何处理呢?

一、博主用的是宝塔linux面板,那我们就从宝塔面板的安全防护开始说起:

 

1、为你的宝塔面板绑定一个复杂的三级域名,并修改宝塔默认端口 比如 bt.XX.XXXX.com:33521

2、为你的宝塔面板设置一个复杂的登录账号和密码,包含大小写和特殊符号,(主要是为了防止黑客通过MD5解密,获取你的账号和密码),如果你不懂,跟着我设置就可以了,如果感兴趣可以百度去了解。

3、因为很少用,关闭你的SSH,如果你经常用到,需要修改SSH端口;修改你的FTP端口,不要默认的21.

4、禁止ping,防止黑客嗅探你的服务器IP

5、建议安装宝塔的付费插件 nginx或者apache防火墙,虽然拦截率不会100%,针对一些“草根黑客”还是挺有效的。

6、建议安装 云锁巡查,一单网页被篡改,被渗透你可以第一时间查找,删除。您可以参考西部数码:http://faq.myhostadmin.net/faq/listagent.asp?unid=2093 安装云锁进行防护

7、mySQL数据库默认端口3306,改为61116,并加入到端口安全策略,不对外开放,外网IP无法连接数据库,只有本地127.0.0.1才能进行连接数据库,以防止攻击者恶意猜测。

8、留好你的网站日志,不要当个强迫症,随时清理!(后面讲重要性)

宝塔面板安全配置示意图

宝塔面板安全配置示意图

经过以上操作,你的宝塔面板相对是很安全的,如果大家有什么需要补充的,可以在下方继续留言……

 

二、问题出在Ecshop上,我们聊聊Ecshop的安全防护

Echsop近几年爆出的安全漏洞非常多,Ecshop cms操作的技术人员,技术水平也参差不齐,再加上Ecshop是一款相对来说比较老的开源商城程序,深入研究这套程序的技术人员也少,相关的技术文档,漏洞补丁修复相对滞后,目前可修复的漏洞《ecshop中毒怎么办?以下补丁你打了吗?关于ecshop中sql注入漏洞修复》参考这篇文章进行修复,除此之外我们可以进行以下操作来进行防御:

1、Ecshop修改后台路径,包括手机端,设置复杂的账号密码,防止黑客通过MD5解密,轻松获取后台密码

2、最好只保留一个后台账号密码,不方便的话,分权的账号密码也要重视,别随便写个“名字+888”,你懂得

3、后台,商店设置-基本设置,附件上传大小,修改为0

4,不要在一些技术论坛或者博客中乱发网址,树大招风

如果你的Ecshop网站漏洞较多,有可能会殃及同台服务器上无漏洞的网站,比如你的站上还有个Wordpress站点……

三、Wordpress网站安全防护设置

1.升级到WordPress最新版

只从WordPress官方下载源码,不要到第三方网站下载。尽可能升级到WordPress最新版,及时修补程序漏洞,包括WordPress核心源码、WordPress主题以及WordPress插件。

 

2.使用官方WordPress主题和插件

这里所说的官方,一是WordPress官方,二是主题或插件开发者的官方,尽量避免使用“破解”版主题、插件,慎用网上传播的原本是收费,但是被人恶意提供免费下载的主题、插件。

 

3.修改数据库默认前缀wp_

很多朋友安装WordPress都没有修改数据库前缀,如果你打算修改默认的前缀wp_,请根据如何修改WordPress数据库前缀来修改。

 

4.修改默认的用户名admin

WordPress3.*以上已经支持安装时自定义登录用户名,如果你使用默认的admin,建议你根据下面的方法进行修改:

方法一:后台新建一个用户,角色为管理员,然后使用新用户登录,删除默认的admin用户。

方法二:登录phpmyAdmin,浏览当前数据库的wp_users数据表,将user_login和user_nicename修改为新用户名。同时建议修改“我的个人资料”中的的昵称,然后设置“公开显示为”非用户名的其他方式:

 

5.使用高级密码,经常更换密码

建议使用含大写字母、小写字母、数字和其他符号的复杂密码,比如nuH4j&*aHG%dMz,避免使用生日、手机号、QQ号等。

 

6.隐藏WordPress版本信息

默认情况下会在头部输出WordPress版本信息,你可以在主题的functions.php最后一个?>前面添加:

//隐藏版本号

7.修改wp-admin目录的访问权限

你可以通过限定IP地址访问WordPress管理员文件夹来进行保护,所有其他IP地址访问都返回禁止访问的信息。另外,你需要放一个新的.htaccess文件到wp-admin目录下,防止根目录下的.htaccess文件被替换。


以上简单的配置都是基于你勤奋的数据备份,及时被黑掉,也可以随时挽救……….

 

四,亡羊补牢,为时未晚:真的被黑了,我该怎么办?

上面讲到,不要乱删网站日志,网站日志是分析网站漏洞和攻击源的组好的工具

网站访问日志是存放于服务器里的一个目录里:

IIS默认是存放于C:/windows/system32/里的子目录下,日记记录了网站的所有访问记录,包括了网站的各种访问信息,访客的信息,比如IP,浏览的网址,访客的浏览器属性,以及访问的方式是以GET POST还是COOKIES,统统的都记录在网站访问日志里。

apache访问日志,主要是存放于apache安装目录下的access.log文件,LOG文件会实时的记录所有的网站访问记录,以及访问者的IP等等信息。就好比我们访问https://www.liulinblog.com的时候,access.log日志就会出现以下记录:


60.58.118.58  -   -  [11 / SEP / 2018061833 +0200]“GET www.liulinblog.com/ HTTP / 1.1200  - ”“Mozilla / 6.0Windows NT 8.0; WOW64; rv33.0 Gecko / 20170911 Firefox / 35.0 

 

我来说一下上面这个访问记录是什么意思吧,记录了一个60.58.118.58 的IP,在2018年9月11日的早晨6点18分访问了www.liulinblog.com网站的首页,并返回了200的状态,200状态就是访问成功的状态。

如果我们没有网站日志文件,那我们根本就不知道谁访问了我们网站,以及他访问了我们网站的那些地址。

 

下面我们讲讲通过网站日志,如何分析我们的网站是如何被黑的,通过哪些页面被黑的:

当我们发现客户网站被攻击后,我们立即暂停了网站,以便于我们进行详细网站安全检测与审计。

我们查找了网站的日志,包含了一个星期的日志文件,下载到我们的本地。

在查询网站如何被攻击前,我们要知道哪些数据是对我们有用的,一般来讲,黑客的入侵痕迹,以及攻击的文件特征,以及攻击语句,包含SQL注入漏洞,XSS跨站攻击,以及后台访问并上传木马等行为特征,从这些方面去入手我们会尽快的查找到黑客的攻击IP、并以此为根据,查找到黑客到底是怎样攻击了客户的网站。

打开我们下载好的日志文件,会看到很多很多日志记录,如果网站访问客户多的话,会有上千,也会有上万,我们来看一下网站的访问日志:

 

通过网站日志分析黑客攻击

通过网站日志分析黑客攻击

检查每一个IP的访问情况,通过查看我们看到了一条有攻击特征的记录,这个记录的网站地址,是很长很长,跟普通的访问差别好大。如下图
通过网站日志分析黑客攻击

通过网站日志分析黑客攻击

从上图可以看出,这个代码是执行了SQL注入语句,并查询了网站的后台管理员账号以及密码,导致被黑客知道密码,然后登陆了后台,并篡改了网站的内容。

 

从上面可以看出,黑客的攻击很有明显性,在前期他会自动扫描一些有问题的文件,并找出来然后再针对性的攻击,在黑客攻击的同时会留下许多入侵攻击的痕迹,我们仔细发现都会找到的,在网站被攻击后,千万不要慌静下心来分析网站的日志,查找攻击证据,并找到漏洞根源,修复网站漏洞。

先聊到这把,有问题欢迎底部留言…………

赞(0) 打赏
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏