近期网站攻击、挂马防范提醒与防范

WordPress技术博客新闻资讯

近期网站攻击、挂马防范提醒与防范

近期WEB主题公园售后技术组收到了十多起网站被攻击、挂马的求助,这些现象显示,今年一开年,网络安全形势不可低估,也请大家务必做好网站的各项防御以及备份工作,以免造成不必要的损失。

在帮助这些用户进行修复和防御之后,下面我们归纳了近期收到的网络攻击的特点,以及对应解决的方式。

1.挂马方式1,利用.htaccess(分布式配置文件)进行转向木马,者常见于Unix或Linux系统,或者Apache环境的服务器

我们在检查网站时,电脑端检查完成之后,务必使用手机进行测试,看看是否会进行跳转,有的木马设定电脑端不跳转,而手机端跳转,这样如果你不使用手机进行测试,那么可能这个木马就无法被发现了。

发现跳转的现象之后,从你的网站服务器下载根目录的.htaccess,使用代码编辑器或者txt打开,一般来说,正常的.htaccess文件不会包含任何站点意外的url,你可以查找跳转的网址url来判断是否是.htaccess被污染而造成的挂马。

当发现.htaccess被污染时,删除文件并替换掉之前所备份的文件即可。一般来说,wordpress的伪静态设置在.htaccess文件中如下:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

# END WordPress

我们在帮助用户检测木马时,最常见的木马植入方式就是.htaccess被污染造成的,因此,如果你的网站开始跳转到其他网站上,你第一个需要检查的就是.htaccess文件。

 

2.挂马方式2:文件污染,以及文件增加出现的木马

第一种方式:现有文件污染:是在能够影响到前端输出的文件中,植入若干代码,造成跳转,就wordpress而言,最常见的文件如下参考:

根目录下:index.php、wp-blog-header.php、wp-load.php最容易受到污染。这些根目录文件可以通过删除之后替换解决好。

主题目录下:header.php、footer.php、index.php、functions.php最容易受到污染,通过升级主题(可在后台 –外观–编辑中,将版本号Version:后面的数字)修改为低版本如1.0,触发更新,更新主题即可,也可以手动覆盖这些文件,或者覆盖整个主题。

第二种方式,增加文件对网站进行影响: 使用你的ftp查看网站目录,对比根目录、主题、插件目录下,wordpress结构是否多出了奇怪名称的文件,或者很相似的文件,文件后缀比较奇怪的文件等等,只要和原始的安装包不同,那么你就可以下载下来查看下这些文件是否存在木马。这种木马的清理,若逐个查看文件夹是非常累的,因此如果发现这种情况,建议除了你的网站附件文件夹(路径:\wp-content\uploads)之外所有文件夹以及文件全部删除,重新上传新的wordpress安装包和主题安装包安装。当然在删除之后uploads里面所有的文件夹也必须都查看一遍,查看是否有可疑文件存在。

总结,若文件遭到污染或者出现新增文件造成的木马,一般来说最快的方法是替换文件,但是如果新增文件覆盖替换文件也无法解决问题,只有全部删除重新上传才能彻底删除干净。

 

以上两种挂马方式的解决

1.设置文件夹权限:将除了附件文件夹(路径:\wp-content\uploads)以外的所有文件及其子文件全部设为555只读属性,那么文件不可更改不可创建木马时无法植入的。

2.如果是服务器,建议安装相关防护软件,如安全狗、云锁、360主机卫士等等.

3.如果是虚拟主机,建议你使用第三方防御工具,如360网站卫士、百度加速等等具有一定防御效果的第三方工具。

 

3.cc攻击、ddos攻击以及syn攻击

攻击出现的特征,以及对应办法。

cc攻击:如果网站遭受到了cc攻击,你可以明显感觉网站卡、慢,如果你的服务器有软件监控的话,你可以注意到,cup使用率和内存使用率高的吓人,当cpu长期100%负荷时,网站完全无法访问,并开始宕机重启。

cc攻击发生时,可以启用相关服务器的防御机制,比如每一个ip每 10 秒只允许请求20次,超过20次锁定ip访问时间多少分钟。

也可以设置网站每IP并发数,ip并发数是指一个ip下能够允许多少用户访问,若cc攻击非常大 ,可以直接设为1,等待cc攻击结束之后,再修改较大即可。

你同时也可以使用360网站卫士,这个第三方防御对于cc攻击的效果也算是比较明显,只要启用了之后,360的云节点会帮助你抵抗一部分的cc攻击。

 

syn攻击:如果网站遭受到syn攻击,会发现网站网卡流量突然增高,长期负荷在最高网卡速度,而正常用户的访问量并没有增加。

当发生syn攻击时,你可以首先将网站每IP并发数设为1,每个每连接线程速度设为20kb,这样虽然会影响网站正常的访问速度,但是可以很明显的让网卡流量变低,从而抵制住攻击。

同时若有专业的网管人员,可以参考这篇文章进行防御:http://my.oschina.net/zhangxc73912/blog/512763?p=1

 

syn攻击与ddos攻击一样,如果规模够大,几乎是没有非常有效的防御机制可以防御住的,若发生较大规模的攻击,可以使用相关网站安全防御商家提供的防御套餐,并求助于他们的技术支持。

 

 

 

 

 

上一篇:

下一篇:

文章评论

您好!请登录

取消回复
    展开更多