可能重复:
我的服务器被黑了应急
有人能够破解我的WordPress的3.2.1安装,访问控制面板作为pipe理员和发脾气与主题的index.php文件。 他没有删除任何网站的文件或造成更多的损害(我不知道他是否善良或只是有限的访问)。
我的问题是如何追查问题的原因? 我所知道的是,在网站被黑客入侵之前,我收到了一封来自WordPress的电子邮件,说我要求更改pipe理员密码。
任何想法从哪里开始寻找?
谢谢,Mashhoor
首先看看你的networking日志。 寻找404s,有奇怪的查询string,应该给你一个开始。
我的问题是如何追查问题的原因? 我所知道的是,在网站被黑客入侵之前,我收到了一封来自WordPress的电子邮件,说我要求更改pipe理员密码。
这个电子邮件信息会告诉你什么时候黑客可能已经出现,密码重置function是漏洞利用的一部分。
在哪里看? 基本上你可以从你的服务器日志开始。 哪一个请求是那个时候完成的? 查找POST和GET请求,一些服务器实际上logging了POST数据,这可能有助于发现更多信息,尽pipe情况并非总是如此。
一旦攻击者获得pipe理员访问您的博客,他/他通常可以修改wordpress设置中的所有文件。 这是WordPress的自动更新实施的代价,因为大多数文件必须是可访问的。 但是在安全的设置中,文件是只写的。 这个信息可能有助于了解黑客可以如何执行以及如何防止将来。
另外在3.2.x阵容中寻找wordpress更新或降级到3.1.4,3.2.1是相当新的,并没有在野外进行testing,特别是对于攻击。
另一种跟踪事件的方法是使用相同的configuration设置蜜jar安装,启用完整的日志logging和通知,以便了解更多关于发生的攻击。 许多攻击都是自动完成的(或者只是蠕虫),所以你可以使用蜜jar网站来检测这种攻击模式。 当文件被更改或添加时,您知道该网站已遭到攻击。
我知道这是事实,但尝试安装WordPress的文件监视器插件。 至less在未来,您将确切知道哪些文件发生了变化,以及是否已经上传。