域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

7.15，網(wǎng)站被入侵，但是直到7月17日，我才發(fā)現(xiàn)被入侵。

16日，17日正常更新文章，17日查詢網(wǎng)站收錄數(shù)據(jù)時(shí)，在站長(zhǎng)資源平臺(tái)【流量與關(guān)鍵詞】查詢上，我發(fā)現(xiàn)了比較奇怪的關(guān)鍵詞。

起初我并沒有在意，以為搜索引擎抽風(fēng)，也在群里還有一些論壇詢問了這種情況。大部分都是說的編碼的問題。但是我查詢后，編碼是沒有問題的。并且首頁都能正常訪問。

但是直到我利用百度站長(zhǎng)資源平臺(tái)【抓取診斷】工具，我發(fā)現(xiàn)這次問題嚴(yán)重了。

頭部全是這種代碼，這也表明網(wǎng)站100%被人入侵了。

查找代碼

然后我查看了一下文件修改記錄，發(fā)現(xiàn) wp-bolg-header.php 這個(gè)文件在7月15日被修改過，并且也符合頭部插入上圖超鏈接的條件，點(diǎn)擊進(jìn)入查看。

上面多了這么一段代碼，起初我不知道這個(gè)代碼有什么用，刪除之后，在使用診斷工具，上面的鏈接就沒有了。

然后我根據(jù)這個(gè)代碼找到服務(wù)器 tmp/.ICE-unix 這個(gè)目錄，里面存放了命名為 0 的文件。

打開這個(gè)文件后是這樣的。

因不懂代碼，看出大概意思可能是當(dāng)搜索引擎抓取就讓蜘蛛抓取那個(gè)網(wǎng)站。（上面加馬賽克的X站鏈接）

收錄劫持確認(rèn)

經(jīng)過論壇網(wǎng)友八公子的科普，了解到這個(gè)是 劫持收錄

百度收錄抓取快照的時(shí)候，其實(shí)是快照了這個(gè)文件里面網(wǎng)址的內(nèi)容

所以你的網(wǎng)站有收錄 也是收錄他網(wǎng)址的內(nèi)容 一般都是一些違法的內(nèi)容  這玩意 十多年前就有人做了

如果發(fā)現(xiàn)類似的文件。 自己查查百度模擬抓取。 如果不是你的網(wǎng)站內(nèi)容 那你就被劫持快照了。

當(dāng)確定被入侵之后，我當(dāng)時(shí)唯一想的就是，他是怎么入侵進(jìn)來的？怎么將這些文件放入服務(wù)器的？其他網(wǎng)站有沒有被入侵？（服務(wù)器多站，后來查詢，其他網(wǎng)站也被更改。）

安全補(bǔ)救

我的服務(wù)器其實(shí)是有安裝云鎖，但是因?yàn)闀r(shí)間的原因，一直沒有自編譯。當(dāng)天連夜自編譯云鎖。

擴(kuò)展閱讀：自編譯教程《云鎖Nginx自編譯教程，Nginx/Tengine ,寶塔云鎖自編譯》

使用云鎖巡航，查詢出一些可疑的文件，來自于在挖魚網(wǎng)下載的 【W(wǎng)P Auto Post】這款采集插件，我猜大概就是這個(gè)插件的問題，直接刪掉

隨后聯(lián)系了西部數(shù)碼的技術(shù)人員，輔助我分析網(wǎng)站訪問日志，但是和我猜想的插件問題有些出入，但是西部工作人員的服務(wù)確實(shí)到位。

經(jīng)過西部技術(shù)員分析，懷疑可能是通過 WordPress REST API 內(nèi)容注入漏洞Post，這個(gè)還需要相關(guān)專業(yè)人員分析處理。

反思

網(wǎng)站建設(shè)這么久了，其實(shí)服務(wù)器安全策略方面并沒有做到完善，這也是自己的疏忽。云鎖裝在服務(wù)器快一年多了，都沒有做過自編譯。

WordPress 安全方面也沒有去深入設(shè)置。

導(dǎo)致這次翻車。

這次也導(dǎo)致很多網(wǎng)站停更，全身投入網(wǎng)絡(luò)安全維護(hù)，畢竟涉及整個(gè)服務(wù)器的網(wǎng)站。

也在18號(hào)左右，SEO排名掉光了?？梢娛珍浗俪謱?duì)一個(gè)網(wǎng)站造成多大的傷害。

雖然譴責(zé)黑客竊取勞動(dòng)成果，但是依然奉勸其積點(diǎn)陰德，不要去搞這些非法的網(wǎng)站了。

另外在后面我還是會(huì)繼續(xù)寫一些安全防護(hù)的問題，完善服務(wù)器安全策略。

本文由五車二原創(chuàng)，轉(zhuǎn)載請(qǐng)注明出處。原文地址：http://www.5che2.com/article/452.html

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！