帮助我认为我被黑客入侵了 #
遭受黑客攻击可能是您在线旅程中最令人沮丧的经历之一。然而,像大多数事情一样,采取务实的方法可以帮助您保持理智。同时也以尽可能小的影响超越问题。
hack 是一个非常模棱两可的术语,它本身并不能提供关于究竟发生了什么的见解。为确保您通过论坛获得所需的帮助,请务必了解导致您相信自己已被黑客入侵的具体症状。这些也称为妥协指标 (IoC)。
一些明确指示黑客入侵的 IoC 包括:
- 网站被谷歌、必应等列入黑名单。
- 主机已禁用您的网站
- 网站已被标记为散布恶意软件
- 读者抱怨他们的桌面 AV 正在标记您的网站
- 联系到您的网站被用于攻击其他网站
- 注意未经授权的行为(即创建新用户等)
- 当您在浏览器中打开它时,您可以明显看到您的网站已被黑客入侵
并非所有黑客都是平等的,因此在参与论坛时请记住这一点。如果您能更好地了解症状,团队将更有能力提供帮助。
您将在下面找到一系列旨在帮助您开始完成黑客后流程的步骤。它们并非包罗万象,因为要考虑每种情况是不切实际的,但它们旨在帮助您思考整个过程。
采取的一些步骤 #
保持冷静。
在解决安全问题时,作为网站所有者,您可能会承受过大的压力。它通常是自上线以来您发现自己最脆弱的一个,这与每个人告诉您的相反,“嘿,WordPress 很简单!!”
好消息是一切都没有丢失!是的,你可能会损失一些钱。是的,您的品牌可能会受到打击。是的,你会从中恢复过来。
所以,是的,退后一步,做好自己。这样做将使您能够更有效地控制情况并恢复您的在线状态。
文档。
妥协后您应该采取的第一个可行步骤是文档。花点时间记录你正在经历的事情,如果可能的话。你要记住几件事:
- 你看到了什么让你相信你被黑了?
- 你是什么时候注意到这个问题的?什么时区?
- 您最近采取了哪些措施?是否安装了新插件?您是否更改了主题?修改小部件?
您正在为被识别为事件报告的内容创建基线。无论您是计划自己执行事件响应,还是聘请专业组织,随着时间的推移,本文档将被证明是无价的。
建议也花点时间注释主机环境的详细信息。在事件响应过程中的某个时间点将需要它。
扫描您的网站。
扫描您的网站时,您有几种不同的方法来执行此操作,您可以使用外部远程扫描仪或应用程序级扫描仪。每个都旨在查看和报告不同的事物。没有一种解决方案是最好的方法,但是您可以一起大大提高您的胜算。
基于应用程序的扫描仪(插件):
远程扫描器(爬虫):
WP repo中还有许多其他相关的安全插件。上面注释的那些已经存在了很长时间,并且每个背后都有强大的社区。
扫描您的本地环境。
除了扫描您的网站之外,您还应该开始扫描您的本地环境。在许多情况下,攻击/感染源始于您的本地机器(即笔记本电脑、台式机等)。攻击者在本地运行特洛伊木马,允许他们嗅探登录访问信息,例如 FTP 和 /wp-admin,从而允许他们以站点所有者身份登录。
确保在本地计算机上运行完整的防病毒/恶意软件扫描。有些病毒擅长检测 AV 软件并对其进行隐藏。所以也许尝试不同的。此建议适用于 Windows、OS X 和 Linux 机器。
请咨询您的托管服务提供商。
黑客攻击可能不仅仅影响您的网站,尤其是在您使用共享主机的情况下。如果他们正在采取措施或需要,值得与您的托管服务提供商核实。例如,您的托管服务提供商可能还能够确认黑客是实际黑客还是服务丢失。
如今,黑客攻击的一个非常严重的影响是电子邮件黑名单。这种情况似乎越来越多。由于网站被滥用以发送垃圾邮件,电子邮件黑名单当局正在标记网站 IP,这些 IP 通常与用于电子邮件的同一服务器相关联。当涉及到您的业务需求时,您可以做的最好的事情是查看Google Apps等电子邮件提供商。
注意网站黑名单。
Google 黑名单问题可能会损害您的品牌。他们目前每天将大约 9,500 到 10,000 个网站列入黑名单。这个数字每天都在增长。有多种形式的警告,从警告用户远离的大型启动页面,到在搜索引擎结果页面 (SERP) 中弹出的更微妙的警告。
尽管 Google 是比较突出的之一,但还有许多其他黑名单实体,如 Bing、Yahoo 和各种桌面防病毒应用程序。了解您的客户/网站访问者可能会利用任意数量的工具,其中任何一个都可能导致问题。
建议您使用各种在线网站管理员控制台注册您的网站,例如:
改善您的访问控制。
您经常会听到人们谈论更新密码等内容。是的,这是一个非常重要的部分,但它只是一个更大问题中的一小部分。在访问控制方面,我们需要改善整体态势。这意味着对初学者使用复杂、长且唯一的密码。最好的建议是使用1Password和LastPass等应用程序中的密码生成器。
请记住,这包括更改所有接入点。当我们说接入点时,我们指的是 FTP / SFTP、WP-ADMIN、CPANEL(或您与主机一起使用的任何其他管理员面板)和 MYSQL。
这也超出了您的用户,并且必须包括有权访问环境的所有用户。
还建议考虑使用某种形式的双因素/多因素身份验证系统。在它的最基本形式中,它在登录到您的 WordPress 实例时引入并要求第二种形式的身份验证。
一些可用于帮助您的插件包括:
重置所有访问权限。
一旦你发现了一个黑客,你要做的第一步就是锁定东西,这样你就可以最大限度地减少任何额外的变化。首先要从您的用户开始。您可以通过强制为所有用户(尤其是管理员)重置全局密码来做到这一点。
这是一个可以帮助完成此步骤的插件:
您还想清除所有可能主动登录 WordPress 的用户。您可以通过更新 wp-config 中的密钥来做到这一点。您需要在此处创建一个新集合:WordPress 密钥生成器。取这些值,然后用新的值覆盖 wp-config.php 文件中的值。这将强制任何可能仍处于登录状态的人关闭。
创建备份。
您希望有您网站的备份,但如果您没有,这将是创建一个. 备份是您继续运营的关键部分,应该是您积极计划前进的事情。您还应该询问您的主机他们的备份政策是什么。如果您确实有备份,您应该能够在取证工作中执行恢复和技能。
无论如何,在您进入下一阶段的清洁之前,建议您再拍摄一张环境快照。即使它被感染了,根据黑客的类型,影响也会导致很多问题,如果发生灾难性故障,你至少会有那个坏副本可供参考。
找到并删除黑客。
这将是整个过程中最令人生畏的部分。查找并删除黑客。您采取的确切步骤将取决于许多因素,包括但不限于上面提供的症状。您如何解决问题将取决于您自己使用网站和 Web 服务器的技术能力。
不过,为了在此过程中提供帮助,我们提供了许多不同的资源,可以帮助您完成此过程:
清除所有内容并重新开始可能很诱人。在某些情况下这是可能的,但在许多情况下这是不可能的。但是,您可以做的是重新安装网站的某些元素,而不考虑影响您网站的核心。您总是希望确保重新安装您的网站正在使用的相同版本的软件,如果您选择较旧或较新的软件,您可能会杀死您的网站。重新安装时,请确保不要使用 WP-ADMIN 中的重新安装选项。使用您的 FTP / SFTP 应用程序拖放版本。从长远来看,这将证明更有效,因为这些安装程序通常只会覆盖现有文件,而黑客通常会引入新文件……您可以安全地替换以下目录:
- / wp-管理员
- /wp-包括
从那里开始,建议您在浏览 wp-content 时更加努力地更新和替换文件,因为它包含您的主题和插件文件。
您肯定要查看的一个文件是您的 .htaccess 文件。无论感染的类型如何,它都是最常见的文件之一,最常被更新并用于恶意活动。该文件通常位于安装文件夹的根目录下,但也可以嵌入到同一安装的其他几个目录中。
无论感染的类型如何,在修复过程中都会有一些您需要注意的常见文件。他们包括:
- 索引.php
- 头文件.php
- 页脚.php
- 函数.php
如果修改,这些文件通常会对所有页面请求产生不利影响,使它们成为不良行为者的高目标。
利用社区
我们经常忘记,但我们是一个基于社区的平台,这意味着如果您遇到麻烦,社区中的某个人可能会伸出援手。如果您手头拮据或只是想寻求帮助,一个很好的起点是WordPress.org 被黑或恶意软件论坛。
更新!
一旦你干净了,你应该将你的 WordPress 安装更新到最新的软件。旧版本比新版本更容易受到黑客攻击。
再次更改密码!
请记住,在确保您的网站干净之后,您需要更改您网站的密码。因此,如果您只是在发现 hack 时才更改它们,那么现在再次更改它们。再次记住使用复杂、长且唯一的密码。
您可以考虑更改数据库用户帐户和密码。当您更改它们时,不要忘记将它们增强为 wp-config.php 文件。
取证。
取证是了解发生了什么的过程。攻击者是怎么进来的?目标是了解恶意攻击者用来确保他们无法再次滥用它的攻击向量。在许多情况下,由于缺乏技术知识和/或可用数据,网站所有者很难执行此类分析。如果您确实有所需的元数据,那么有像OSSEC和splunk这样的工具可以帮助您合成数据。
保护您的网站。
既然您已成功恢复您的站点,请通过实施一些(如果不是全部)推荐的安全措施来保护它。
无法登录 WordPress 管理面板
有时,不良行为者会劫持您的管理员帐户。这不是恐慌的理由,您可以做一些不同的事情来重新控制您的帐户。您可以按照以下步骤重置密码
像phpMyAdmin和Adminer这样的工具通常可以通过您的托管服务提供商获得。它们允许您直接登录到您的数据库,绕过您的管理屏幕并在用户表中重置您的用户wp_users。
如果您不想弄乱密码哈希或无法弄清楚,只需更新您的电子邮件并返回登录屏幕,单击忘记密码,然后等待电子邮件。
使用版本控制?
如果您使用版本控制,则可以非常方便地快速识别已更改的内容并回滚到网站的先前版本。从终端或命令行,您可以将您的文件与存储在官方 WordPress 存储库中的版本进行比较。
$ svn diff .
或者比较一个特定的文件:
$ svn diff /path/to/filename
