V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
idtdi
V2EX  ›  程序员

网站被黑,留下了一句“HACKED bY S@NT3T3”该怎么办?

  •  
  •   idtdi · 2014-09-10 13:09:12 +08:00 · 27404 次点击
    这是一个创建于 3711 天前的主题,其中的信息可能已经有所发展或是发生改变。
    网站cgcloud.net昨天下午被黑,留下了一句“HACKED bY S@NT3T3”该怎么办?
    请指教!
    48 条回复    2014-09-12 08:15:30 +08:00
    yunpaa
        1
    yunpaa  
       2014-09-10 13:13:50 +08:00   ❤️ 1
    难道不是应该做应该做的?
    idtdi
        2
    idtdi  
    OP
       2014-09-10 13:16:29 +08:00
    @yunpaa 比如呢?
    idtdi
        3
    idtdi  
    OP
       2014-09-10 13:17:19 +08:00
    @yunpaa 从没经历过 所以不知道要做什么?请给明确点的信息……在线等
    pyshift
        4
    pyshift  
       2014-09-10 13:19:40 +08:00
    ..没有备份吗,恢复一下
    regmach
        5
    regmach  
       2014-09-10 13:26:19 +08:00
    nilai
        6
    nilai  
       2014-09-10 13:35:55 +08:00
    首先得确定你的网站的架构, 是直接买的虚拟空间还是VPS。 还有确认你的DNS的解析是否被修改。 如果是空间的话。就去恢复备份文件, 查看日志。 VPS的话就好好检查你的系统。不管怎么样。不着急恢复,先看日志。
    idtdi
        7
    idtdi  
    OP
       2014-09-10 13:40:23 +08:00
    @pyshift 没有备份 后台貌似还能进去
    idtdi
        8
    idtdi  
    OP
       2014-09-10 13:42:13 +08:00
    @nilai 买的空间! DNS确认没改之后就查看日志了吧? 顺便问一句日至如何查看啊?都代表什么意思呢?还是百度去吧……
    谢过
    nilai
        9
    nilai  
       2014-09-10 13:43:57 +08:00
    买的空间的话就去面板看下先。
    humhook
        10
    humhook  
       2014-09-10 13:44:09 +08:00
    我倒是觉得先报案
    nilai
        11
    nilai  
       2014-09-10 13:48:07 +08:00
    这种个人blog去报案绝对没人鸟你。
    nilai
        12
    nilai  
       2014-09-10 13:48:55 +08:00
    目测应该是通过WP的某个插件漏洞搞进去的。
    idtdi
        13
    idtdi  
    OP
       2014-09-10 13:50:10 +08:00
    @nilai 是吗?怪不得 一直用着挺安静的 最近升级到wp4.0后 就中了
    idtdi
        14
    idtdi  
    OP
       2014-09-10 13:51:15 +08:00
    @humhook 算了 空间在香港 网站没备案 就算备案了 也不会鸟我的……
    nilai
        15
    nilai  
       2014-09-10 13:52:55 +08:00
    现在要做的就是确保数据库还在,然后通过FTP再恢复WP的相关的文件。
    momou
        16
    momou  
       2014-09-10 13:57:43 +08:00
    貌似是个小组,黑了一堆啊。。。
    dong3580
        17
    dong3580  
       2014-09-10 13:59:37 +08:00
    倒是觉得这个骇客应该告诉一下被黑机器哪个地方代码出现问题,
    rentaro
        18
    rentaro  
       2014-09-10 14:00:06 +08:00
    没什么重要资料的话,留个后台帐号,让大家进去帮你看看呗
    idtdi
        19
    idtdi  
    OP
       2014-09-10 14:17:59 +08:00
    @rentaro 啊!……这个 有人愿意帮我解决问题修复网站正常的话 我就留下帐号
    本人设计师 不懂代码 程序什么的 搭个wp不易啊 谁想碰到个黑客 我这小站有什么值得黑的 想不通 ……
    pimin
        20
    pimin  
       2014-09-10 14:22:41 +08:00 via iPhone   ❤️ 1
    @idtdi
    不用郁闷,他们不是针对你,是针对wp的某个漏洞

    恢复的话把index.php重新传上去就好了一般
    pimin
        21
    pimin  
       2014-09-10 14:25:00 +08:00 via iPhone
    一般是刚接触渗透的练手玩的
    用已知漏洞去扫网站,不是练手就是装逼的
    一般叫他们script kid,脚本小子
    rentaro
        22
    rentaro  
       2014-09-10 14:25:03 +08:00
    qqaaqq2333#gmail
    jings
        23
    jings  
       2014-09-10 14:28:27 +08:00 via Android
    脚本小子+1
    010blue
        24
    010blue  
       2014-09-10 14:30:44 +08:00
    @idtdi 看下web日志,搜索和文件更改相关的操作;WP能直接改文件的漏洞很少,不是插件出了问题就可能是你的后台弱密码或者被撞库的原因,建议用一些webshell扫描工具扫描下服务器上的后门,另外也可以用下wpscan直接扫自己的站,希望能查出来是什么问题
    ai0by
        25
    ai0by  
       2014-09-10 14:32:28 +08:00 via Android
    放心,这种一般是小角色,不会对你造成什么损失,但是对比一下文件差异,几时备份,才是王道
    idtdi
        26
    idtdi  
    OP
       2014-09-10 14:35:16 +08:00
    @pimin 果真是wp的漏洞么?他入侵了我的后台数据库吗?我同一个空间下的4个不同域名(4个小站)无一幸免 都被黑了
    idtdi
        27
    idtdi  
    OP
       2014-09-10 14:36:39 +08:00   ❤️ 1
    @ai0by 好吧 先修复再说 以后一定备份 现在一次都没被分过 汗呐
    nilai
        28
    nilai  
       2014-09-10 14:43:38 +08:00
    wp很安全, 但是它的插件就不是那么安全了。
    wpscan扫一下就知道了
    eary
        29
    eary  
       2014-09-10 14:50:53 +08:00
    我也被黑过,果断恢复吧
    wvidc
        30
    wvidc  
       2014-09-10 14:55:36 +08:00
    用云主机吧 避免跨站风险
    andye
        31
    andye  
       2014-09-10 15:03:56 +08:00
    http://www.todoelpoder.com/ 这个网站比你的黑的还厉害呢
    idtdi
        32
    idtdi  
    OP
       2014-09-10 15:15:17 +08:00
    @andye ma dan!
    zhujinliang
        33
    zhujinliang  
       2014-09-10 15:17:26 +08:00
    @andye 看到 don't close your eyes 吓的赶紧关了
    idtdi
        34
    idtdi  
    OP
       2014-09-10 15:23:47 +08:00
    @pimin 感谢!
    感谢各位
    空间客服介入无果后 果断重新上传index.php 现已恢复!
    konakona
        35
    konakona  
       2014-09-10 16:19:56 +08:00
    楼主WP是什么版本?
    tumutanzi
        36
    tumutanzi  
       2014-09-10 16:30:34 +08:00
    一个没有被黑过的博客不是好博客。
    应该是改了你的设置页,即wp-config.php文件。把这个文件重新上传一遍吧,还有,应该是你用了一些不安全的插件导致的。
    这种小黑客都是炫耀技巧,所以恶作剧你了一下。你应该还不至于重要到让大黑客来黑你。
    idtdi
        37
    idtdi  
    OP
       2014-09-10 16:31:35 +08:00
    Tonni
        38
    Tonni  
       2014-09-10 17:13:14 +08:00
    @pimin script diors 233
    lemonda
        39
    lemonda  
       2014-09-10 17:51:50 +08:00
    看了下同 IP 的站点还有用3.5.1版本的 WP 都没被黑,楼主可以检查下4个站点的相同部分,比如都用了什么插件或者都用了什么设置。
    mengzhuo
        40
    mengzhuo  
       2014-09-10 17:57:31 +08:00
    被类似的黑过……
    还发邮件大骂了一顿那个黑客

    最后发现是wordpress的插件搞的鬼
    liyandong
        41
    liyandong  
       2014-09-10 19:39:42 +08:00
    快准备保护费交掉
    bjzhush
        42
    bjzhush  
       2014-09-10 19:43:07 +08:00
    @wvidc 如果漏洞出现在脚本层,用什么主机都是无法避免被入侵的
    vimutt
        43
    vimutt  
       2014-09-11 09:09:56 +08:00
    @idtdi 亏我以前还去过你网站几次呢 你资源不错啊 是做cg的吗 这么正规的小站怎么连备份都不做呢 wp是能少用插件就少用 尽量别跟风升级 等大家用了都说好再升级
    idtdi
        44
    idtdi  
    OP
       2014-09-11 09:18:38 +08:00
    @vimutt 哈哈 在这还能碰到有缘人…… 是的做CG的,小站也是独立CG分享博客!
    昨天已经立马备份了,那些插件也不懂……就这么插那了
    谢过!
    vimutt
        45
    vimutt  
       2014-09-11 16:13:18 +08:00
    @idtdi 嗯 我大部分工作都和cg有关 你这站也开了很长时间了 筋斗云嘛 挺好的 坚持下去,v2码农多 咱们这行的太少了 我来这主要是看看好玩的东西
    idtdi
        46
    idtdi  
    OP
       2014-09-11 16:18:40 +08:00
    @vimutt 嗯 算算也有3-4年了 你是负责什么部分的?还以为你是程序员呢 我想怎么会去过CG筋斗云的呢……? 呵呵
    vimutt
        47
    vimutt  
       2014-09-11 18:25:25 +08:00
    我平时接触的主要是次世代游戏和3D动画 我记得你站点刚推出我就去过 好像还订阅过rss 不过更新少了 就不常去了 你的站要是也做成v2这样的社区不是挺好嘛
    idtdi
        48
    idtdi  
    OP
       2014-09-12 08:15:30 +08:00 via iPhone
    @vimutt 嗯 是个好想法 没有技术支持 一人精力有限啊…… wp架个小站都没能及时更新内容你也看到了 如果有人一起搞……想必是不错滴
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1114 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 22:48 · PVG 06:48 · LAX 14:48 · JFK 17:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.