我的网站被黑了

Question

可能重复: 我的服务器被黑客入侵

我的网站已经被黑客入侵，但当我在ftp中查看源文件时，一切看起来都很好。我的网站地址: zecel.com任何人都可以指导我如何修复它，并在未来避免它。

谢谢。

Answer 1

First...wipe系统。真的。你不能再信任系统二进制文件了。这就像让你的大脑去分析自己。你不能客观地去做。您的系统二进制文件很容易被破坏，以隐藏实际发生的事情。

当你整理好所有东西的时候，你很容易就能重建三次了。

擦擦电脑。从后援恢复。(什么后援？如果你问自己，你在更深的trouble...you应该从头开始重建网站，并开始做一个非常好的backup...OFFLINE backup...plan)。

所有更新都安装好了吗？

你没有提到你的平台/操作系统/等等。你也没有提到你的网站是什么(apache？什么SQL版本？PHP？虚拟服务器，托管，自托管，专用服务器，什么样的黑客，你怎么知道它被黑了，日志里有什么.)

如果您真的很想保护它，那么您可能应该查看体面的备份，每天检查安全性更新，并安装chkrootkit和rkhunter (如果是Linux之类的平台)，并为文件安装一个校验和(比如tripwire )。

还可以使用Nessus或其他漏洞扫描器在系统上运行审核。

检查日志文件和审核日志文件是否有异常活动。

你能远程登录吗？强密码？SSH？安装denyhost并将其配置为锁定对系统的异常尝试。

检查您可以使用什么方法来检测您正在被特定的IP或端口扫描尝试和防火墙攻击。

Overall...need更多信息，您需要擦除系统和重新安装从备份或从头开始，并得到所有的更新安装。监视文件更改。监视你的日志。网站真的可以作为一个设置和忘记的东西运行，但如果你是一个系统管理员，它需要实际的工作，运行一个网站“正确”，它需要维护。即使是一个简单的网站也可以是一个皮塔，以保持运行和更新。

您还可以订阅一些特定于您选择的平台的安全列表(如果您正在运行SQL或PHP或特定的BBS平台，则使用web服务器、OS或操作系统)，以便对邮件中特定于您平台的漏洞进行梳理。

Answer 2

让你的网站被玷污和你的服务器被黑是有点不同的。但你必须了解这次袭击。例如，如果它只是一个SQL注入，那么唯一真正受到攻击影响的就是数据库。从已知的良好备份中恢复数据库或手动删除插入到数据库中的恶意代码通常就足够了。修补程序，让注入开始。这通常是WordPress或类似的数据库驱动框架的过时版本。

现在，如果有人强行输入密码或登录并手动编辑您的页面，那么正如Bart所指出的，您应该与您的提供商交谈，因为他们将处于确定所涉及的风险并采取适当行动的最佳位置。但我同意Bart提出的系统不能被信任的观点，总的来说，这是个好主意。通过共享主机，这将取决于提供商。

Answer 3

这个问题有很多问题，很难帮助你。特别是，我们不知道你所说的“所有内容都变了”到底是什么意思。由于您自己的问题，我们知道磁盘上的内容似乎是未经修改的，这意味着您的网站实际上没有被黑客入侵，其他事情正在进行。

第一个要问的问题是，“我真的在看我认为我是的那个网站吗？”也就是说，您在浏览器中输入的URL是否真的与承载您的网站的系统相对应？如果最近DNS发生了变化，情况可能就不是这样了。

验证这一点的一种方法是在发出请求时查看Apache访问日志(即加载页面)。如果您在访问日志中看到请求，那么它至少不是DNS问题。如果您没有看到请求，那么您需要弄清楚您实际上正在与哪个系统交谈。

如果没有更多的信息，我们就无法真正帮助你。