所以我们的网站被黑了,我们做了这些事情:
数据库中的某些条目已更改。我不知道这是通过 SQL 注入,还是直接访问数据库(只允许 root 进行数据库更改,是否可以模拟 root 或获取其密码?)或通过网站的 CMS。我的猜测是它是通过CMS。
索引页面的代码被更改为黑客成功入侵的一些戏剧性声明。
我刚刚从 Qualys ( https://freescan.qualys.com/freescan-front/module/freescan/#scan_report?id=39003& ) 完成了免费扫描,上面写着SSL Server Allows Anonymous Authentication Vulnerability。这可能是真的,因为每当我登录 FTP 时,它都会告诉我某些证书无效,但我总是忽略并点击“继续”。我在托管公司的服务器上使用 VPS(非共享)帐户。
我应该首先解决哪些问题?
编辑#1
我刚刚在服务器上发现了一些奇怪的文件,包括一个“wso.php”,它似乎正在使用系统密码访问 cookie 和其他东西。然后在public_html文件夹中,我找到了一个我以前从未见过的新文件夹,sym名为root.htaccess 其中说:
Options all
DirectoryIndex Sux.html
AddType text/plain .php
AddHandler server-parsed .php
AddType text/plain .html
AddHandler txt .html
Require None
Satisfy Any
我有几个问题 -
- 这是否提供了更多关于这是哪种攻击的提示?
- 这些是“邪恶”的 .htaccess 内容吗?
- 其中一个文件是boy.php.jpg。鉴于该站点的其中一个表单允许用户上传图像、存储其文件路径,然后通过由 DB 支持的 CMS 访问这些上传的图像,这可能是 SQL 注入,其中一个伪装成图像的恶意文件被上传,然后作为常规页面内容访问?
我的公司对黑客攻击感到恼火,但我不得不承认我对这个谜团有点兴奋!(您可能会说,安全方面的新手)
编辑#2
又一个更新。我发现了这个页面: http ://dealshop.cc/a7a/
这是什么以及它是如何工作的任何想法?我的网站是列出的网站之一,所以也许外壳被“上传”为 jpg 文件?
编辑#3
出于某种原因,我之前没有想到要提到这一点,但是我的 MySQL 数据库被黑客入侵了——当我通过 phpMyAdmin 浏览表时,一些表的一些 ID 列充满了cat /etc/pwd和+response.write(9062801*9462776)+. 这是否意味着入口点肯定是 SQL 注入?