我的网站被黑了 :: 我现在该怎么办?

已发表: 2014-12-11

Hacked Website

所以,你被黑了! 好吧,你在这里并不孤单; 它发生在许多网站所有者身上,因为被黑的网站变得越来越普遍。 最近的行业报告表明,超过 70% 的网站存在严重的安全漏洞,这一事实令人震惊。 如果现在没有发生,可能会在不久的将来发生; 或者您可能会让黑客访问您的网站以寻找漏洞以在某天对其进行破解。

因此,网站管理员必须采取一切可能的预防措施,而不是成为黑客的唾手可得的果实。 但是,如果您已经被黑客入侵了怎么办? 进一步阅读本文以了解它是如何发生的,以及您应该采取哪些措施来让您的网站再次运行。

我怎么知道我是否被黑客入侵?

它不需要任何特殊技能来确定您已被黑客入侵。 你像每天一样浏览你的网站,你发现你的网站被污损了。 或 最常见的是; 当您的网站被黑色背景的页面替换并且有一个大符号和一条消息说“被 some_group_name 黑客攻击”时。

在许多情况下,您会被重定向到一些令人不快的网站,例如色情或药品网页。 如果您经历过以上任何一种情况,那么很明显您已经被黑客入侵了。 一些聪明的黑客不想让你知道你的网站被黑了。 他们可能不会用华丽的横幅和徽标破坏您的网页。 相反,他们更喜欢您不知道它,因此他们可以使用您的网站来执行恶意意图。

如今,黑帽 SEO 黑客开展垃圾邮件活动,以支持出售流行奢侈品牌廉价“复制品”的在线商店。 大多数情况下,方法保持不变,但这些门口页面偶尔会根据最新的事件和节日进行优化。 即圣诞节的链接将类似于“圣诞节特价低价路易威登”

通常,此类链接指向受感染网站的主页。 这些受感染的网站可能在 HTML 代码的底部有一块隐藏的垃圾链接,如下所示:

Website Doorway

您还可以在 Google 或 Bing 中搜索您的网站;

site:yourdomain.com 任何垃圾词…….ie site:mywebsite.com 便宜

如果搜索引擎列出了一些带有垃圾链接的异常网页,那么您一定是被一些寄生虫入侵了。 在这种情况下,您可以通过 Sucuri SiteCheck 和 Unmask Parasites 扫描您的网站。

与其讨论,不如简单总结一下表明您已被黑客入侵的迹象。

  • 浏览器表明您的网站可能遭到入侵。
  • 您的网站默认页面被一些华丽的页面取代。
  • 您的网站重定向到一些令人反感的网页。
  • 搜索引擎会通知您您的网站包含恶意内容。
  • 您注意到一些奇怪的网页或网站代码中的一些不寻常的代码。
  • 如果您即使使用正确的登录凭据也无法登录管理区域,或者发现自己被锁定。

这种黑客攻击背后的可能原因是什么?

网站可以通过多种方式被黑客入侵。 以下是黑客用来入侵 Internet 的一些常用方法:

  • 猜测密码或社会工程学
  • 猜测用户名和密码蛮力。
  • 使用 SQL 注入控制 CMS 中的后端仪表板,例如 WordPress。
  • 在本地计算机中注入恶意软件以捕获您的登录凭据。
  • 在特定软件、更新、插件、主题中查找安全漏洞并加以利用。
  • 通过 Web 服务器中不安全的上传页面注入 shell 以控制整个服务器。
  • 入侵驻留在与您的网站相同的共享服务器上的其他人的网站。

被黑后应该采取什么行动?

扫描您的本地计算机以查找病毒和恶意软件

要找到罪魁祸首,请从您的本地系统开始。 感染源可能始于您的本地计算机。 因此,请安装好的防病毒软件并运行全面扫描,以确保您的本地系统没有感染恶意软件、间谍软件、木马等。在运行全面扫描之前,请确保您的防病毒软件必须是最新的带有最新定义。 对于 Windows,我们推荐使用 Microsoft Security Essentials,因为它提供针对最新威胁的实时保护。

更改所有密码

更改所有用户和所有帐户的密码,例如 FTP 访问、控制面板帐户、管理员帐户、内容管理系统创作帐户。 检查您网站的用户帐户列表,并确保黑客没有创建任何新的用户帐户。 如果您发现任何未知帐户,请记下它们以供日后调查。 然后立即删除这些帐户,以防止黑客将来登录。

使您的网站离线

当您已经被黑客入侵时,请防止您的网站感染他人并防止黑客进一步滥用系统。 一旦您知道自己被黑客入侵,请立即将您的网站下线。 备份受感染的网站文件,MySQL 数据库将文件夹重命名为被黑备份。 因此,您可以稍后在闲暇时调查它们,或者在您的清洁尝试失败时恢复它们。

立即联系您的网络托管服务商

如果您使用共享主机,请联系您的网络主机以确定此黑客是否影响了同一服务器中的其他网站。 询问他们是否有您的数据库和网站文件的备份副本。 如果他们有你的备份,告诉他们在它被覆盖之前保护它。 如果您在本地系统中有文件的干净备份,请考虑从此备份进行恢复。

网页内容清理和黑客攻击后调查

现在打开以前被黑客入侵的备份文件夹进行后期黑客分析。 首先,查看网页内容文件夹、文件及其修改时间。 准备最近修改的文件夹/文件列表,并检查是否在修改的文件夹中插入了任何新文件,并准确在修改后的文件中进行了哪些修改。

如果您看到文件中插入了任何恶意代码或任何不属于您网站的文件,请删除/修复它们。 您还可以通过更新的防病毒/恶意软件对 Web 文件进行全面扫描。 如果可能,修复或隔离您的代码,或考虑从可用的良好备份副本中恢复。

记下这些文件被利用的时间戳。 它将帮助您缩小日志搜索练习的范围。 挖掘日志是对任何黑客事件的主要调查,但它需要管理权限。 如果您对系统具有管理访问权限,则可以检查事件查看器 (Windows) 或任何相关日志以进行进一步调查。 搜索来自未知 IP 地址的重复授权失败的登录尝试或 FTP 日志。

如果您的网站中有上传页面而没有任何文件验证和验证码,这可能是罪魁祸首。 如果在其中插入任何 shell 脚本或恶意代码,请检查您的上传路径。 验证用户帐户列表,如果您发现任何未知帐户,请立即禁用它并在日志中搜索其最近的活动。

检查您的 .htaccess 文件、索引文件或任何其他默认页面,以确保没有恶意重定向或任何恶意代码。 如果您正在运行 WordPress 博客,请检查针对 index.php、header.php、footer.php 和 functions.php 的 wp-content/themes 目录。

黑客攻击背后最常见的原因是编码不佳、过时且不安全的脚本、插件、主题、不安全的上传页面。 因此,为了防止它再次发生,您必须解决所有可能的罪魁祸首。

结论

被黑客入侵的方式和调查技术有很多种; 以上列表只是冰山一角。 在任何黑客事件中要采取的主要步骤是联系托管服务提供商。 通常,他们拥有为您执行大部分繁重技术工作的最佳位置。 让网站被黑并不好玩,因此请保持冷静和亲密的支持团队,以使其尽快运行。