网站被攻击时,菜鸟站长如何分析攻击原因并成功防御

我作为一名对于网络安全一窍不通的菜鸟站长,面对前段时间网站被连续几天注入了英文文章,实在是束手无策。不过经过这几天的研究,终于摸索出了一些门道。通过这篇文章简单的分享给大家。

近几天来,每天的凌晨,网站都都会突然增加几篇英文文章;这是典型的站点被攻击了。第一时间通过搜索引擎查找解决方案,当然搜到了一些类似的情况,按照网友给出的方法改密码、关闭接口等等,但仍然起不到效果。于是决定自己解决,按照以下几个步骤,终于成功防御住了这次攻击。

  1. 打开站点访问日志

通过第三方面板或者直接远程链接到服务器,打开网站根目录,找到并下载访问日志文件。

这里由于我使用的是linux服务器,因此通过Xshell连接服务器,新建文件传输,通过Xftp找到根目录下的访问日志文件,拷贝到电脑桌面中去。

Xshell界面
Xftp界面下找到访问日志

2. 分析网站收到的攻击,特别注意找到攻击时间

我打开了当天凌晨被恶意添加的文章,记录下了文章的标题、固定链接和发表日期。

由于文章已经被删除了,这里就不截图了。

3. 在访问日志里找到对应攻击记录

在文章的发表时间12:36分附近,我找到了多条记录。

其中出现的文章链接,正是恶意添加的文章的固定链接;试图访问这几条ip地址,显示如下页面:

这说明,该ip地址是通过代理服务器生成的,这正是黑客进行网络攻击的标配。

至此,已经找到并确认了网站受到攻击的相关几条访问记录。

4. 分析日志,留意攻击方式和位置

带有文章固定链接的那两行记录应该表示插入文章,那么该记录之前的get和post记录就是黑客成功取得发表文章权限的记录了。

仔细分析这些记录,发现它们都指向了同一个链接位置:/wp-login.php

这是什么?这是所有wordpress搭建的网站的后台登录页面的地址。由于之前排除了暴力破解的可能性,于是我猜测有可能是黑客利用了wordpress登录页的一些漏洞从而成功拿到了后台发表文章的权限。

5. 针对性查找解决方案

发现了问题,接下来就可以尝试解决了。

由于主要问题处在登录页面上,黑客应该是通过代理服务器向大量网站的登录页发送get代码;一旦获取存在漏洞,便post入侵,取得权限后发布广告文章。

于是我想到,如果我关闭了登录页,或者改变了初始的登录地址,那么该攻击是不是就无效了呢?于是通过搜索,我找到了一个用作链接跳转的代码,将它放在function.php文件中,更新。

通过这一代码,我实现了将原始的登录地址自动跳转到了百度首页,而真正的登录地址隐藏了起来。

6. 测试,解决问题

今天早上打开网站,终于没有出现烦人的广告文章。至此,问题初步解决。

再次翻看今天凌晨的访问日志,发现一些类似的访问代码,链接都被跳转到了百度首页;说明攻击防御成功。

附:

1.由于发现该黑客服务器每天准点都会来攻击网站,于是今天我把跳转的百度首页换成了网络违法犯罪举报网站。不知要是那位黑客看到会作何感想。

2.文章中没有放出链接跳转的代码,这个网上可以搜到;如果有需要可以评论留言。

发表评论

电子邮件地址不会被公开。 必填项已用*标注