我的網站被黑了 :: 我現在該怎麼辦?

已發表: 2014-12-11

Hacked Website

所以,你被黑了! 好吧,你在這裡並不孤單; 它發生在許多網站所有者身上,因為被黑的網站變得越來越普遍。 最近的行業報告表明,超過 70% 的網站存在嚴重的安全漏洞,這一事實令人震驚。 如果現在沒有發生,可能會在不久的將來發生; 或者您可能會讓黑客訪問您的網站以尋找漏洞以在某天對其進行破解。

因此,網站管理員必須採取一切可能的預防措施,而不是成為黑客的唾手可得的果實。 但是,如果您已經被黑客入侵了怎麼辦? 進一步閱讀本文以了解它是如何發生的,以及您應該採取哪些措施來讓您的網站再次運行。

我怎麼知道我是否被黑客入侵?

它不需要任何特殊技能來確定您已被黑客入侵。 你像每天一樣瀏覽你的網站,你發現你的網站被污損了。 或 最常見的是; 當您的網站被黑色背景的頁面替換並且有一個大符號和一條消息說“被 some_group_name 黑客攻擊”時。

在許多情況下,您會被重定向到一些令人不快的網站,例如色情或藥品網頁。 如果您經歷過以上任何一種情況,那麼很明顯您已經被黑客入侵了。 一些聰明的黑客不想讓你知道你的網站被黑了。 他們可能不會用華麗的橫幅和徽標破壞您的網頁。 相反,他們更喜歡您不知道它,因此他們可以使用您的網站來執行惡意意圖。

如今,黑帽 SEO 黑客開展垃圾郵件活動,以支持出售流行奢侈品牌廉價“複製品”的在線商店。 大多數情況下,方法保持不變,但這些門口頁面偶爾會根據最新的事件和節日進行優化。 即聖誕節的鏈接將類似於“聖誕節特價低價路易威登”

通常,此類鏈接指向受感染網站的主頁。 這些受感染的網站可能在 HTML 代碼的底部有一塊隱藏的垃圾鏈接,如下所示:

Website Doorway

您還可以在 Google 或 Bing 中搜索您的網站;

site:yourdomain.com 任何垃圾詞…….ie site:mywebsite.com 便宜

如果搜索引擎列出了一些帶有垃圾鏈接的異常網頁,那麼您一定是被一些寄生蟲入侵了。 在這種情況下,您可以通過 Sucuri SiteCheck 和 Unmask Parasites 掃描您的網站。

與其討論,不如簡單總結一下表明您已被黑客入侵的跡象。

  • 瀏覽器表明您的網站可能遭到入侵。
  • 您的網站默認頁面被一些華麗的頁面取代。
  • 您的網站重定向到一些令人反感的網頁。
  • 搜索引擎會通知您您的網站包含惡意內容。
  • 您注意到一些奇怪的網頁或網站代碼中的一些不尋常的代碼。
  • 如果您即使使用正確的登錄憑據也無法登錄管理區域,或者發現自己被鎖定。

這種黑客攻擊背後的可能原因是什麼?

網站可以通過多種方式被黑客入侵。 以下是黑客用來入侵 Internet 的一些常用方法:

  • 猜測密碼或社會工程學
  • 猜測用戶名和密碼蠻力。
  • 使用 SQL 注入控制 CMS 中的後端儀表板,例如 WordPress。
  • 在本地計算機中註入惡意軟件以捕獲您的登錄憑據。
  • 在特定軟件、更新、插件、主題中查找安全漏洞並加以利用。
  • 通過 Web 服務器中不安全的上傳頁面注入 shell 以控制整個服務器。
  • 入侵駐留在與您的網站相同的共享服務器上的其他人的網站。

被黑後應該採取什麼行動?

掃描您的本地計算機以查找病毒和惡意軟件

要找到罪魁禍首,請從您的本地系統開始。 感染源可能始於您的本地計算機。 因此,請安裝好的防病毒軟件並運行全面掃描,以確保您的本地系統沒有感染惡意軟件、間諜軟件、木馬等。在運行全面掃描之前,請確保您的防病毒軟件必須是最新的帶有最新定義。 對於 Windows,我們推薦使用 Microsoft Security Essentials,因為它提供針對最新威脅的實時保護。

更改所有密碼

更改所有用戶和所有帳戶的密碼,例如 FTP 訪問、控制面板帳戶、管理員帳戶、內容管理系統創作帳戶。 檢查您網站的用戶帳戶列表,並確保黑客沒有創建任何新的用戶帳戶。 如果您發現任何未知帳戶,請記下它們以供日後調查。 然後立即刪除這些帳戶,以防止黑客將來登錄。

使您的網站離線

當您已經被黑客入侵時,請防止您的網站感染他人並防止黑客進一步濫用系統。 一旦您知道自己被黑客入侵,請立即將您的網站下線。 備份受感染的網站文件,MySQL 數據庫將文件夾重命名為被黑備份。 因此,您可以稍後在閒暇時調查它們,或者在您的清潔嘗試失敗時恢復它們。

立即聯繫您的網絡託管服務商

如果您使用共享主機,請聯繫您的網絡主機以確定此黑客是否影響了同一服務器中的其他網站。 詢問他們是否有您的數據庫和網站文件的備份副本。 如果他們有你的備份,告訴他們在它被覆蓋之前保護它。 如果您在本地系統中有文件的干淨備份,請考慮從此備份進行恢復。

網頁內容清理和黑客攻擊後調查

現在打開以前被黑客入侵的備份文件夾進行後期黑客分析。 首先,查看網頁內容文件夾、文件及其修改時間。 準備最近修改的文件夾/文件列表,並檢查是否在修改的文件夾中插入了任何新文件,並準確在修改後的文件中進行了哪些修改。

如果您看到文件中插入了任何惡意代碼或任何不屬於您網站的文件,請刪除/修復它們。 您還可以通過更新的防病毒/惡意軟件對 Web 文件進行全面掃描。 如果可能,修復或隔離您的代碼,或考慮從可用的良好備份副本中恢復。

記下這些文件被利用的時間戳。 它將幫助您縮小日誌搜索練習的範圍。 挖掘日誌是對任何黑客事件的主要調查,但它需要管理權限。 如果您對系統具有管理訪問權限,則可以檢查事件查看器 (Windows) 或任何相關日誌以進行進一步調查。 搜索來自未知 IP 地址的重複授權失敗的登錄嘗試或 FTP 日誌。

如果您的網站中有上傳頁面而沒有任何文件驗證和驗證碼,這可能是罪魁禍首。 如果在其中插入任何 shell 腳本或惡意代碼,請檢查您的上傳路徑。 驗證用戶帳戶列表,如果您發現任何未知帳戶,請立即禁用它並在日誌中搜索其最近的活動。

檢查您的 .htaccess 文件、索引文件或任何其他默認頁面,以確保沒有惡意重定向或任何惡意代碼。 如果您正在運行 WordPress 博客,請檢查針對 index.php、header.php、footer.php 和 functions.php 的 wp-content/themes 目錄。

黑客攻擊背後最常見的原因是編碼不佳、過時且不安全的腳本、插件、主題、不安全的上傳頁面。 因此,為了防止它再次發生,您必須解決所有可能的罪魁禍首。

結論

被黑客入侵的方式和調查技術有很多種; 以上列表只是冰山一角。 在任何黑客事件中要採取的主要步驟是聯繫託管服務提供商。 通常,他們擁有為您執行大部分繁重技術工作的最佳位置。 讓網站被黑並不好玩,因此請保持冷靜和親密的支持團隊,以使其盡快運行。