你应该知道的网站攻击
互联网已经成为许多人的赚钱机器。我们真的很高兴看到这一点,因为它让我们的许多客户取得了成功。网络业务成功的客户必然会按时支付托管费用!
不幸的是,还有一些肆无忌惮的 nogoodniks 会做任何事情来赚取另一美元。他们最喜欢的一些货币化形式包括用隐藏的垃圾邮件链接感染网站、通过重定向窃取网站流量、上传网络钓鱼页面,甚至更糟——将网站变成基于网络的僵尸网络的节点,将访问权卖给出价最高的人地下论坛或 IRC 频道。
随着全球互联网访问和依赖性的增加,对网站和应用程序的攻击在过去十年中发展迅速。与往常一样,货币交易量的增加以及与这些货币交易相关的舒适度使互联网成为犯罪团伙和各种骗子创收模式的前沿。
网站所有者在其网站遭到破坏时所能预料到的最糟糕情况是对网站首页内容进行修改的日子早已一去不复返了,通常包括某种令人讨厌的消息或机智的散文。当前基于 Web 的攻击尽最大努力掩盖其漏洞跟踪,以便让攻击者有最多的时间进行犯罪活动。这对攻击者有利,因为只要网站所有者相信他们的网站外观和功能符合预期,那么就不会再考虑是否可能被欺诈者和 nogoodniks 破坏。
了解这些罪犯及其意图将使您做好准备,以便在他们闯入您的道路时有效地对付他们。
第一幕:“袭击!”
犯罪分子的目标很简单:在不被发现的情况下感染尽可能多的站点和系统,并通过提供对这些受感染系统的访问来获利。这种攻击从扫描带有已知漏洞和不安全密码的软件开始。该攻击会快速扫描随机 IP 和搜索引擎,以查找具有已知漏洞的网站的任何踪迹。一旦目标遭到破坏,攻击者就会上传后门 shell,并将它们隐藏在站点上某个不会被检测到的地方。正如您可能已经猜到的,他们上传的后门 shell 具有运行相同扫描机制的能力,将被用来危害更多站点并扩大犯罪分子控制的网络!
仅以上内容不会给犯罪分子带来任何现金。他们所拥有的只是一个可供他们使用的“攻击节点”列表。这就是创业罪犯发挥作用的时候。他们将保留部分攻击节点并保证它们的安全,同时以一定的价格提供对其他节点的访问……谁会购买对这些节点的访问权?当然还有更多的罪犯!
到这个时候,该站点已经被破坏了数天、数周甚至数月,并将开始显示出被利用的迹象。最初的罪犯会在某个时候向垃圾邮件发送者出售访问权限。正如职业垃圾邮件发送者所熟知的那样,他们会上传垃圾邮件页面(药店和网络钓鱼页面很常见);或者他们将您的网站卖给一些阴暗的营销人员,以便在 BlackHat SEO 活动中使用您的网站来提升垃圾网站。除了垃圾邮件发送者之外,这些罪犯也很常见地向其他罪犯出售他们自己的僵尸网络。他们将支付访问后门的费用,只是为了上传自己的后门!(罪犯盗窃罪犯,还指望什么?)
最后,经常会看到一个网站遭到破坏,然后最终看起来像一团乱麻,在整个网站上上传并隐藏了数十个后门程序。在最坏的情况下,垃圾邮件发送者链接会被注入到网站的每个页面上,从而使每个只是在流行的搜索引擎上寻找您的网站“Bob's Toy Emporium”的访问者不知何故发现自己被重定向到购买蓝色小药丸的网站。如此合法的网站。
场景二:“别让坏人得逞!” (又名:“你能做什么”)
预防
在攻击者发动攻击之前阻止他们比在攻击之后进行清理更容易。绝大多数基于 Web 的攻击都可以通过选择强密码来阻止(PS 你也应该使用 sFTP 而不是普通的 FTP,今天改变你的习惯!)并在有可用更新时立即升级网站软件!通过我们的一键安装系统,我们可以轻松更新许多流行的网站软件应用程序——插件、附加组件或自定义代码仍然是您升级的责任。
检测
“因为知道是成功的一半。”
注意您网站上的文件并偶尔查看一下。看到不对劲的地方了吗?检查一下!如果它看起来像一只失明的狂犬病猫抓住了键盘,那么你可能只是遇到了问题(这个问题可能比你手上真的有一只失明的狂犬病猫更糟糕。)这里有一些简单的例子我们常见的附加到网站文件的恶意代码:
或者
攻击者使用许多方法来混淆他们后门的用途,但他们都有一个共同点,即他们不希望您能够理解他们的目的是什么。有一些例外,但如果文件似乎不属于您的站点并且您没有将它放在那里,那么应该有理由相信您已被利用。
场景三:“如果你认为自己被妥协了怎么办?”
撤消攻击者的所作所为,保护您的网站免受进一步滥用。
从站点中删除所有添加的后门并采取措施防止进一步的攻击至关重要。这两个步骤比大多数人想象的要容易得多,但您不能偷懒。首先,检查您站点的文件是否有更改和文件修改。如果您发现任何不属于那里的东西,您需要禁用/隔离/删除它!请务必仔细检查您网站的所有软件是否已升级到最新版本,以便关闭已知的安全漏洞。最后,不要忘记确保您也更改了密码(FTP、SSH、MySQL),以防万一这些密码也可能被泄露。
那是什么?您的站点有 1,000 多个文件,您希望站点的网站管理员检查所有文件吗?天啊!
您可以使用以下提示同时解决两个问题,即备份和安全性。如果一个站点值得花 10 分钟来编写内容,那么您应该在您的家庭/办公室计算机上备份您的站点。此备份不仅可以帮助您在几乎任何灾难后让您的站点恢复在线,还可以帮助您识别攻击者对您的站点所做的任何更改!
如何?那么,由于您现在是一个精明的网站所有者,在本地保持干净和安全的备份,您可以下载您网站的“受损”版本并使用文件比较软件*将其与干净版本进行比较,以确切了解发生了什么变化。您还将为下一集 CSI 中可能的“网络取证”角色做好更好的准备……
* (在线搜索“比较目录”加上您选择的操作系统,您会发现大量选项!)
到现在为止,您的网站应该是安全的(敲木头),这样您就可以将其重新上线,因为知道坏人可以从中攻击其他网站和服务器的节点更少。如果您还没有这样做,请联系我们的支持人员,让我们知道您认为自己被黑客入侵了。我们的安全团队随后将对您网站的文件进行基本扫描,如果我们发现任何不安全的软件或在您的网站上运行任何已知的后门,我们会通知您!
