笔者去年写过的一篇文章《关于“贵州人事网”被挂马的血腥教训 》讲叙的也是关于网络安全没做到位,导致网站服务器被hack入侵的血腥场面!
又一次被hack入侵!
大家好,我是梦想163网的站长,去年的5月21日给各位朋友们写过的那篇文章,不知道还有谁记得,就是有关于网站的安全没做好,而导致被hack入侵的经历!然而事过没多久,今年1月9日,又遭一次hack入侵!(不知道是我太菜,还是对手太强?)话还得从2013年11月11日说起,当时“梦想163网”刚上线,在某服务商买了个VPS服务器,于是网站就开始运营了,刚开始运营的还不错,直到前两天笔者打开FTP服务器时候,才发现服务器里面多了个“a”这个文件夹!
如图1:
说到这里大家应该也发现,笔者用的是dedecms织梦程序,服务器里面有个“a”的文件夹很正常,因为“a”这个文件夹是dedecms织梦程序存放文章的文件夹!但事情的真实性本不是这样,笔者为了方便管理,把原来的默认“a”文件夹改名为“news”那为什么现在多出一个这样的文件夹呢?事情的蹊跷就在于此!随着笔者打开“a”这个文件夹进去,发现了一些很多陌生的文件
图2:
如何打开1.html 看看,原来是个博彩网站!相比大家应该知道对方为什么要做这种手法,因为上传这些文件在你的网站,如果百度蜘蛛爬行“http://www.域名.com/a/XXXXX/X/1.html过后,就会收录他这些垃圾页面,然而让他达到他所需要的利益!
如果100个1000个网站,都被他上传这些文件,可想而知,后果是多么的可怕,然而他会从中获取多少流量以及利益!发现可疑文件后的解决方法好,既然我们已经发现了这些可疑文件,那么我们把他删除就完事了吗?答案是“NO”就算你这次把它删除了,那下次他还是一样会上传,现在我们所需要做的就是找出漏洞,把漏洞补上,让他无法进来,让他无法上传那些垃圾文件!又是一次漫长的找漏洞行动!笔者上次被入侵那次,找了漏洞可找了好几天!不过这次还算挺顺利的!笔者在后台发现了一个被hack添加的管理员账号密码!
图3
关键就在于这里,这名hack是通过什么路径,通过什么方法添加管理员账号的!这可就难到我了。网站基本上没有什么漏洞,也没装过什么插件!也排除是程序自身的漏洞,因为我很相信织梦的安全技术,就算有漏洞 官方也会第一时间打出补丁的!最后笔者终于发现了一个重要的突破口,就是数据库账号密码!当时笔者搭建网站的时候,在网上下了一个mysql自动搭建的软件!账号密码都是默认的!然而数据库的远程管理端口也是默认的:999都怪我粗心大意,当时没及时修改账号 密码!然而才导致网站被入侵的!说的很模糊,可能很多朋友不是很懂!意思就是数据库的默认账号是:root 密码是:123456 默认管理端口是:999如果没有修改默认的账号密码的话hack只需要访问 www.www.xxx63.com:999 然后输入账号、输入密码、就进入到你的数据库!而且权限也是管理员权限!
进入到数据库后,hack可以通过sql语句给你的网站插入一个管理员账号 也就是如图3的管理员账号!或者直接通过mysql数据库提权,拿到你网站的webshell权限 或者是服务器管理权限!这样你的网站就被对方控制住了,对方想做什么就做什么!现在才明白那个“a”的目录是怎么莫名奇妙的出现在了我服务器上,原来是这个道理!最后笔者的最终解决方法就是,修改数据库密码,关闭远程管理端口!为了安全,服务器密码,FTP密码 全部都给予修改了!
文章最后,笔者提醒大家,网络很可怕,做网站的朋友们 需要谨慎!不要因为一时的疏忽,而导致大的损失!
文章来自:梦想163(http://www.mengxiang163.com)