记一起网站被黑案例

2019年3月21日
分类:

突然一天,某A跟我说网站后台访问不了。
原本我还以为只是她那边网速不给力,访问不了网站后台而已,但是我这边登录后台,马上发现不对路。
网站后台被跳转到陌生网站。

网站后台被跳转到陌生网站。

网站后台被跳转到陌生网站。

然后我通过Chrome的浏览器插件,重新加载后台一般,发现是真的跳转了。

记一起网站被黑案例 4

通过禁用插件,清空缓存,发现问题依旧,决定登录数据库后台。通过登录PhpMyAdmin,查看Wordpress表wp_options(强烈建议建站时候把表格前缀改了),马上找到了原因,Wordpress网站的程序绑定网址给修改了。马上改回来。

记一起网站被黑案例 5

修改网址后,Wordpress后台已经可以访问了。直接告诉我能改动网址要么是SQL注入,要么是用户提权。点开后台用户列表,一个默认的管理员账号历历在目,然后我很爽快的删除了(其实我认为最合理就是修改密码,看看后面这个账号还有没有登录)

后台多了个陌生管理员

后台多了个陌生管理员


数据库后台多了个陌生管理员

数据库后台多了个陌生管理员

接下来的步骤,就是查看还有没有给恶意修改的地方。后台安装插件Wordfence Security (其实这个本来是安装了的,只是某天突然就删了),通过Wordfence Security的扫描,发现还有有些残留,其实这些只是缓存文件夹的混存而已(混存我第一时间是改文件夹名字)

Wordfence Security显示给改动的源码

Wordfence Security显示给改动的源码


Wordfence Security显示给改动的地方

Wordfence Security显示给改动的地方

基本问题排除完,最后做了网站日志查看。这个属于最原始的排除,经过一轮的日志排除终于定位到问题所在。

记一起网站被黑案例 6

写在最后,估计这次不算正真意义的网站被黑,对方只是修改了网站网址而已,并没有做其他的篡改。

为了Wordpress网站安全

1.关闭网站的注册功能

2.如果网站必须注册,添加审核机制

3.使用正规插件

4.安装正版主题

5.安装安全插件,例如Wordfence Security

6.修改网站后台默认登录

7.修改数据库默认前缀wp_

本文标签:
Copyright © 唛鬼