救命啊,我想我被黑了
遭受黑客攻击可能是你在网上旅行中最令人沮丧的经历之一。然而,像大多数事情一样,采取务实的方法可以帮助你保持理智。同时也在尽可能小的影响下超越这些问题。
“黑客”是一个非常模糊的术语,它本身并不能帮助我们了解到底发生了什么。要确保通过论坛获得所需的帮助,一定要了解导致您相信自己被黑客攻击的具体症状。这些也被称为妥协指标(IoC)。
几个IoC是黑客攻击的明确指标,包括:
- 网站被谷歌、必应等列入黑名单。
- 主机已禁用您的网站
- 网站被标记为散布恶意软件
- 读者抱怨他们的桌面AV在标记你的网站
- 得知您的网站正被用来攻击其他网站
- 注意未被授权的行为(例如,创建新用户,等等……)
- 当你在浏览器中打开你的网站时,你可以明显地看到你的网站已经被黑了
并不是所有的黑客都是平等的,所以当参与论坛时请记住这一点。如果您能更好地理解症状,团队将更好地提供帮助。
下面你会发现一系列的步骤,旨在帮助你开始完成黑客攻击后的过程。它们并不是包罗万象的,因为要考虑到每个场景是不切实际的,但它们的设计目的是帮助您全面思考这个过程。
需要采取的一些步骤
保持冷静。
在解决安全问题时,作为网站所有者,你可能会经历过多的压力。这往往是你在上网后发现自己最脆弱的地方,它与每个人告诉你的相反,“嘿,WordPress很容易!!”
好消息是,并不是一切都失去了!是的,你可能会损失一些钱。是的,你的品牌可能会受到打击。是的,你会恢复过来的。
所以,退后一步,冷静下来。这样做可以让你更有效地控制局面,并让你恢复你的在线存在感。
文档。
妥协之后,您应该采取的第一个可操作步骤是编写文档。花点时间记录下你正在经历的事情,如果可能的话,记录下时间。有几件事你需要记住:
- 你看到了什么让你相信自己被黑了?
- 您是什么时候注意到这个问题的?什么时区?
- 你最近采取了什么行动?是否安装了新的插件?你改变主题了吗?修改一个小部件?
您正在为被视为事件报告的内容创建基线。无论您是计划自己执行事件响应,还是与专业组织合作,随着时间的推移,本文档将证明是无价的。
建议您也花点时间注释宿主环境的详细信息。在事件响应过程中的某个时刻将需要它。
扫描你的网站。
当扫描你的网站时,你有几种不同的方法来做到这一点,你可以使用外部远程扫描器或应用程序级扫描器。每一个都被设计用来观察和报道不同的事情。没有一个解决方案是最好的,但共同努力可以大大提高成功的几率。
基于应用程序的扫描仪(插件):雷竞技
远程扫描器(爬虫):
还有其他一些相关的安全措施雷竞技可在WP回购文件中查阅。上面注释的那些已经存在很长时间了,它们背后都有强大的社区。
扫描本地环境。
除了扫描你的网站,你应该开始扫描你的本地环境。在许多情况下,攻击/感染源开始于您的本地电脑(例如,笔记本电脑、桌面等等……)。攻击者在本地运行木马程序,这使他们能够嗅探到FTP和/wp-admin之类的登录访问信息,从而允许他们以站点所有者的身份登录。
确保在本地机器上运行完整的反病毒/恶意软件扫描。有些病毒善于发现反病毒软件并隐藏起来。所以也许可以尝试不同的方法。这个建议适用于Windows、OS X和Linux机器。
与您的托管提供商联系。
黑客可能影响的不仅仅是您的网站,特别是如果您使用的是共享主机。如果他们正在采取措施或需要采取措施,那么与您的托管提供商进行检查是值得的。例如,您的主机提供商可能还能够确认黑客是真正的黑客还是服务丢失。
如今,黑客的一个非常严重的影响就是电子邮件黑名单。这种情况似乎越来越多。由于网站被滥用以发送垃圾邮件,电子邮件黑名单当局正在标记网站的IP地址,这些IP地址通常与用于发送电子邮件的同一服务器相关联。你能做的最好的事情是看看电子邮件提供商,比如谷歌应用程序当涉及到你的业务需求时。
注意网站黑名单。
谷歌黑名单问题可能会损害你的品牌。目前,他们每天将9500到10000个网站列入黑名单。这个数字每天都在增长。有各种形式的警告,从大型的启动页面警告用户远离,到在搜索引擎结果页面(serp)中弹出的更微妙的警告。
虽然谷歌是比较突出的一个,但还有许多其他的黑名单实体,如必应,雅虎和广泛的桌面杀毒应用程序。要明白,你的客户/网站访问者可能会利用任何数量的工具,其中任何一个都可能导致问题。
建议你在各种在线网站管理员控制台注册你的网站,比如:
改进访问控制。
你会经常听到人们谈论更新密码之类的东西。是的,这是一个非常重要的部分,但这只是一个更大问题中的一小部分。当涉及到访问控制时,我们需要改善我们的整体姿态。这意味着要使用复杂、长和唯一的密码。最好的建议是使用密码生成器,就像那些发现的应用程序1密码而且LastPass.
请记住,这包括更改所有访问点。当我们说访问点,我们指的是像FTP / SFTP, WP-ADMIN, CPANEL(或任何其他管理员面板,您使用您的主机)和MYSQL。
这也扩展到您的用户之外,并且必须包括所有能够访问环境的用户。
还建议考虑使用某种形式的双因素/多因素认证系统.在它最基本的形式中,它引入并需要登录到WordPress实例时的第二种身份验证形式。
一些插件可以帮助你做到这雷竞技一点,包括:
重置所有访问。
一旦确定了黑客,首先要做的步骤之一就是锁定内容,以便尽可能减少任何额外的更改。首先要从用户开始。您可以通过强制所有用户(特别是管理员)重置全局密码来实现这一点。
这里有一个插件可以帮助这一步:
您还需要清除任何可能积极登录到WordPress的用户。您可以通过更新wp-config中的密钥来实现这一点。你需要在这里创建一个新的集合:WordPress密钥生成器.取这些值重写wp-config.php文件中的值用新的。这将迫使任何可能仍然登录的人退出。
创建一个备份。
你希望你的网站有一个备份,但如果你没有,这将是一个好时机创建一个.备份是您持续操作的关键部分,应该是您积极计划前进的内容。您还应该询问您的主机他们的备份策略是什么。如果您有备份,您应该能够执行恢复和技能直接进入法医工作。
无论如何,在进入下一个清理阶段之前,建议您再对环境进行一次快照。即使它被感染了,这取决于黑客的类型,影响可以导致很多问题,在灾难性的失败事件中,你至少有一个坏的副本可以参考。
找到并删除黑客。
这将是整个过程中最艰巨的部分。找到并删除黑客。您采取的确切步骤将取决于许多因素,包括但不限于上述症状。你如何处理这个问题将取决于你自己在网站和网站服务器上工作的技术能力。
为了在这个过程中有所帮助,我们包括了一些不同的资源,可以在这个过程中帮助你:
清除一切并重新开始可能很诱人。在某些情况下,这是可能的,但在很多情况下,这是不可能的。然而,你能做的是重新安装网站的某些元素,很少考虑到影响你的网站的核心。你总是要确保你重新安装了相同版本的软件你的网站正在使用,如果你选择一个旧的或新的,你很可能会杀死你的网站。重新安装时,请确保不要使用WP-ADMIN中的重新安装选项。使用FTP / SFTP应用程序拖放版本。从长远来看,这将被证明是更有效的,因为那些安装程序通常只覆盖现有的文件,黑客经常引入新的文件…
- / wp-admin
- / wp-includes
从这里开始,建议您在浏览wp-content时更加勤奋地更新和替换文件,因为它包含您的主题和插件文件。
你一定要看的一个文件是你的.htaccess文件。这是一种更常见的文件,无论感染的类型是什么,最常被更新和用于邪恶活动。该文件通常位于安装文件夹的根目录,但也可以嵌入到同一安装的其他几个目录中。
无论感染的类型是什么,在修复过程中都有一些您需要注意的常见文件。它们包括:
- index . php
- header。php
- footer。php
- function.php
如果修改了,这些文件通常会对所有页面请求产生不利影响,使它们成为恶意行为者的高目标。
利用社区
我们经常忘记,但我们是一个基于社区的平台,这意味着如果你有麻烦,社区中的某人可能会伸出援助之手。如果你手头拮据或者只是想寻求帮助,一个很好的开始就是WordPress.org砍或恶意软件论坛。
更新!
一旦你干净了,你就应该更新WordPress安装到最新的软件.老版本比新版本更容易被黑客攻击。
再次修改密码!
记住,您需要更改站点的密码后确保你的网站干净。所以如果你只是在发现黑客入侵后才更改密码,现在再修改一次.再次记住使用复杂,长和唯一的密码。
您可以考虑修改数据库用户帐号和密码。当您更改它们时,不要忘记将它们增强为wp-config.php文件。
取证。
法医是了解所发生事情的过程。袭击者是怎么进来的?我们的目标是了解恶意行为者使用的攻击向量,以确保他们无法再次滥用它。在许多情况下,由于缺乏技术知识和/或可用数据,网站所有者很难执行这种类型的分析。如果您确实有所需的元数据,那么有像这样的工具OSSEC而且splunk这可以帮助你综合数据。
确保你的网站。
现在您已经成功地恢复了站点,通过实现部分(如果不是全部)的推荐的安全措施.
无法登录WordPress管理面板
有时会有坏人劫持您的管理员帐户。这不是恐慌的理由,你可以做一些不同的事情来重新控制你的账户。您可以按照这些步骤重置你的密码
这样的工具phpMyAdmin而且管理通常通过主机托管提供商提供。它们允许您直接登录到数据库,绕过您的管理屏幕在用户表中重置用户wp_users.
如果你不想弄乱密码散列或者弄不清楚,只需更新你的电子邮件,然后返回登录屏幕,点击忘记密码,然后等待电子邮件。
使用版本控制?
如果您正在使用版本控制,它可以非常方便地快速识别哪些内容发生了更改,并回滚到网站的前一个版本。从终端或命令行,您可以将您的文件与官方WordPress存储库中存储的版本进行比较。
$svn diff。
或者比较一个特定的文件:
$svn diff /路径/文件名
这篇文章有帮助吗?如何改进呢?
你必须登录提交反馈。