最近手头上的一个网站在投放ads时,被拒登了,并且提示网站可能被入侵,所以开始查找资料,并总结了以下几点,希望对大家有用。当然,如何可能,最好是直接找专业的公司。
检查项目有点多,希望大家在阅读时多点耐心。
1、注入式攻击
黑客可能通过在您的网站中加入他们自己网站的链接来影响搜索结果。这些链接通常是隐藏的,网站管理员往往很难检测得到。另外还有一种攻击方式会导致这类链接只在有搜索引擎访问时才会显示。
可能入侵的有害内容
如果我们能够检测到您遭到攻击,我们将向您的网站管理员工具账户中发送相关信息。如果您怀疑自己的网站遭到此种攻击,您可以使用 Google抓取方式 工具来检测您的网站发给Google的内容。若您要搜索此种攻击的来源,我们推荐PHP文件,模板文件以及网站内容管理系统插件。
2、重定向用户
黑客也可能引导用户访问垃圾网站或含有恶意软件的网站。这类袭击的对象可能是全体用户,也可能是特定目标,比如来自于搜索引擎的用户或使用移动设备的用户。如果您在直接访问自己的网站时能够正常使用,但在使用搜索引擎访问自己网站却明显感觉到有二次重定向的发生,那么很可能您的网站就是遭到了此种攻击。
黑客实施此种攻击的方式还包括修改服务器布局文件(例如Apache’s .htaccess)以便为不同用户提供不同内容,因此我们建议您检查一下自己的服务器布局文件看是否遭到这类修改。
此种攻击很可能还包括向您的网站源代码中注入Java脚本。这类脚本很可能被设计成目的隐藏型脚本,用以搜索“eval”,“decode”以及“escape”等信息。
3、页面跳转
这是竞争对手利用JS文档安装的形式,使用户在打开网站或者内容页面时自动跳转至对方网站,这样对方网站无需做SEO等有关排名的工作就能获取流量。一旦发现自己的网站有自动跳转的问题,而且在网页的源代码中找不到任何跳转文件,则可以在JS文档中检查。
4、数据入侵
网站数据库被入侵是一件非常棘手的事情,并且这类安全事件经常发生,网站的数据库一旦被入侵,会员信息很可能会遭到篡改,一些可以交易的平台还可能出现客户信息及购买信息的篡改,导致平台损失极大。
数据库入侵不仅仅是篡改数据,还有可能直接将数据库删除,甚至将会员信息进行打包出售,导致会员隐私泄露。
所以,我们不仅要经常对网站数据进行备份,还应定期对数据库的安全问题进行检查。最直接的办法就是开启log日志记录功能,方便我们查看每一个对数据库的请求,一旦发现异常能够及时处理。
5、流量攻击
常见的流量攻击有两种,一种是直接使用大量数据包轰炸式攻击,导致网站处于瘫痪状态,无法正常访问。
一种是模拟多个用户不停的针对性的访问需要大量数据操作的页面,造成服务器资源的浪费,是CPU永远有处理不完的链接直至网络堵塞,导致正常用户的访问被中止。
因此,网站不仅要选用稳定、独立的服务器,还要配备正规的防火墙工具,来避免这类攻击。
下面开始介绍如何检查入侵
1、使用grep检查特定的代码段,大家复制时要注意双引号。这里检查的结果会输出到referer.txt文件,主要是有一些站文件比较多,直接打印到屏幕会不好检查。
检查时特别要注意以下几点
- 异常的文件名
- 插件目录
- 外部网址
grep -inr “referer” * > log.txt #检查访问referer的代码
grep -inr “google” * > log.txt #检查包含google的代码
grep -inr “google” * |grep -I “referer” >log.txt #检查包含google的代码
检查referer和google关键字的原因中,入侵的代码一般会进行判断,根据用户请求包的HTTP Rerferer字段中是否包含“google”字符串而分别返回不同的页面,如果包含“google”字符串,则返回一个包含某IP的网站域名,直接输入网址的来路,不会跳转,这样做的目的就是隐藏网站被攻击的症状,让管理员无法察觉,另外一个目的用于增加其他网站在搜索引擎中的排名,也算是黑帽SEO的一种盈利方式.
被攻击的还有一个特点,只访问服务器上实际存在的php文件的话,即便添加了Referer也不会跳转,只有访问不存在的URL的时候,才会进入对Referer是否包含“google”的判断流程,这个是攻击者在相关配置文件里参与了手脚。
对网站的木马后门进行检测,发现网站的根目录下还存在一个webshell木马后门文件,立即对其进行了删除html\wp-content\xml.php.该后门是一句话木马代码,很小的一个代码,导致网站可以被篡改,上传,改名等网站管理员的一些权限操作。那为什么网站会被上传木马文件呢?是由于,wordpress前段时间被爆出网站漏洞,可以远程执行代码,漏洞文件存在于用户评论功能的代码里,我们对wordpress漏洞进行了修复,以及各个文件夹的权限安全部署,去掉PHP脚本执行权限。
推荐一个网站供大家使用,特别注意不要把敏感的数据,如配置等上传去检测
