网站被黑是每个运维和开发人员都不愿面对,但又必须提前做好准备的事件。无论是因为漏洞、弱密码,还是第三方组件的安全问题,一旦网站被入侵,冷静、有条理地排查是挽回损失、防止二次攻击的关键。因此发现网站被入侵后,首先要做的事就是关停网站、保留现场,千万不要盲目修改删除文件以及日志。
要排查漏洞,我们首先需要明确黑客的入侵途径,以缩小排查范围。入侵网站主要有三条途径:篡改文件、篡改数据库、篡改服务器。常见的网站劫持、快照劫持、数据篡改、网站后门、网页木马、网站标题篡改等等,均属于这三条途径。
如何判断入侵途径呢?
很简单,如果是网站后门、网页木马、网站标题篡改、以及大部分网站劫持,均属于篡改文件途径。凡是黑客篡改了网站文件的入侵,都可以划归该途径。
如果是数据库被篡改了,则属于篡改数据库途径。例如账户余额、用户信息等被篡改。
也就是说篡改文件和篡改数据库,都能在网站内找到蛛丝马迹。对于不明显属于上述两条途径的,可以检查网站文件(尤其是首页文件、配置文件)和数据库的网站配置项,检查是否植入有恶意代码。
如果数据库和网站都没有恶意代码,那就是属于篡改服务器途径,例如快照劫持、非法内容页面一般属于该途径。
如果是篡改文件的入侵,一般是在线上传模块有漏洞、FTP密码泄露导致,极小可能是跨站入侵导致。如果是篡改数据库的入侵,一般是网站存在SQL注入漏洞导致。至于篡改服务器的入侵,可能原因就有点多了。
对于篡改文件的入侵,排查相对简单些,可以使用免费的 【护卫神.云查杀】 对网站进行扫描,找出网页木马和后门。而对于篡改数据库的入侵,处理起来非常麻烦,因为很难找出具体的入侵点,只有在海量的网站日志中寻找蛛丝马迹,很多时候还不一定有结果。对于篡改服务器的入侵,那就更难了,因为入侵服务器的途径太多了,网站漏洞、应用漏洞、系统漏洞都可能导致入侵。
因此如果不是强制要求,不建议排查漏洞。直接解决入侵问题会更好,成本更低。我们也不建议采用修复漏洞的方式来解决问题,该方式虽然听起来最有效,但实际执行时会非常困难;首先我们需要找出漏洞点,光这一点就够喝一壶的;然后是发现问题了怎么修复,这要求开发人员具有非常丰富的防护经验和开发实力;就算修复了漏洞,往往也会因为修复这个漏洞出现新的漏洞,你应该还没听说过没有漏洞的CMS系统吧。
如果有干净的备份文件,先通过备份恢复网站,然后部署必要的防护系统,工欲行其事,必先利其器。可以使用【护卫神.防入侵系统】,一站式解决所有安全问题。针对篡改数据库的入侵,通过注入防护模块,轻松搞定,还是对服务器所有网站都生效哟。针对篡改文件的入侵,使用篡改防护模块,一键定制各种CMS防护规则,防篡改的同时还没有副作用。针对篡改服务器的入侵,通过自动更新补丁模块,解决系统漏洞威胁;通过进程防护模块,解决应用漏洞威胁;通过WAF模块,解决网站漏洞威胁;通过远程防护模块,解决暴力破解威胁;通过木马防护模块,解决网页木马和后门的威胁。通过近百项安全模块,全方位保护服务器和网站,让您再无后顾之忧!
