話說去年九月份教師節前夕,我基於國外開源程序woredpress搭建了感恩教師節網站和小程序,具體可參考我之前的博客《【實戰】感恩教師節小程序製作》,爲了實現投稿功能,當時我把網站開放註冊了,註冊成員角色設成了作者(可以上傳文件,這這就爲黑客在網站目錄下上傳webshell木馬提供了條件),不過當時我linux服務器開着防火牆和安全組,對外端口開放的少,雖然黑客在我網站uploads目錄下上傳了不少webshell木馬,但是半年來卻苦於wordpress的ip驗證機制和防火牆的限制沒有權限執行,所以這些不計其數的國外黑客一直在盯着我的網站尋找漏洞以及我疏忽大意犯錯,縱於這個機會在今年3月份中旬被黑客抓住了。
每天都在嘗試註冊入侵我網站的國外黑客
到底我今年3月份疏忽大意犯了什麼錯誤呢,這又得從我去年更換服務器遷移網站說起,具體可參考我之前的博客文章《利用阿里雲自定義鏡像實現服務器數據/網站快速遷移》, 遷移後到學生機後雖然省了一大筆服務器費用,但是我把新服務器的ip記錯了導致ssh遠程鏈接和ftp上傳文件工具一直無法使用,卻一直找不到原因,而且這一拖就拖到了今年3月份。今天3月份爲了調試ssh和ftp鏈接,我粗心大意把防火牆給關閉了(而且忘了開啓了,一關就是半個多月,防火牆就相當於管理一個大公寓所有房間的鑰匙,這種做法相當於一個大公寓所有的房間門都開打了無人看守了半個多月,不招賊纔怪呢
),而且雲盾提示我的wordpressIP驗證漏洞我偷懶也一直沒修復,然後我的服務器就被緊盯已久的黑客成功入侵了,大致入侵流程是這樣的:在我關閉防火牆之際和wordpressIP驗證漏洞未修復之際,成功創造畸形ip繞過了我網站和服務器的驗證,成功獲取了感恩教師節網站的上傳的木馬執行權限,而且黑客的攻擊目標從來不限於攻陷一個網站,而是想通過一個網站進而入侵整個服務器獲取所有的執行權限,然後就能控制個服務器傀儡肆意妄爲,賺錢或者在互聯網上違法犯罪;黑客的攻擊手段也是非常高明,一旦攻陷一個網站,就在這個網站下的各個目錄通過僞裝植入成百上千個木馬,然後通過執行不同功能的木馬獲取服務器相應的權限併成功入侵該服務器下的所有網站。入侵的我服務器的這個老外黑客並沒有直接想把我服務器搞垮掉,而是在我的20多個網站頁頭都植入了廣告,而且在我的博客發佈了大量國外的足球運動服服裝廣告(這是從3月11日入侵開始到3月18日開始做的事情),然後3月18日阿里云云盾提示了我160多個網站木馬,但是我沒有開阿里雲的安騎士企業版所以只能一個個手動刪除木馬,但是自己偷懶當天只刪了10幾個,想以後慢慢刪。而我的做法可能被黑客洞察了並激怒了他,然後3月19月到3月20日就利用我的郵件服務器向世界各地用戶發送帶有惡意軟件的垃圾郵件,然後3月20日下午我的ip就被國際反垃圾郵箱組織SBL給列入黑名單了,然後3月21日阿里雲就把我的服務器鎖定強制關停,如圖所示
然後我就按照阿里雲工程師的要求給國際反垃圾郵箱組織SBl寫了封郵件(這也是我第一次給老外寫郵件),等了一個多小時沒人回,又寫了封郵件催了一下,如圖所示
然後次日凌晨四點收到了回信,然後阿里雲把我的服務器給解鎖了,如圖所示
阿里雲發給個殺毒教程鏈接,不過我沒看懂,而是採用了比較笨拙的wordpress刪除重裝的笨拙方法,整了一下午剛重裝完還是不放心我又去wdpc查找黑客入侵痕跡並加固服務器安全(這次真的被黑客嚇怕了),結果一不留神吧自己的服務器網卡當成黑客綁定的IP給刪除了,然後整個服務器和所有網站都癱瘓了(就相當於手機沒有流量處於飛行模式的狀態),然後只能求助授權阿里雲工程師幫忙修復了,如圖所示
等了一晚上被我誤刪的網卡終於被阿里雲工程師修復了,然後還是心理不安,又向阿里雲工程求取了些服務器仿入侵經驗,不過也沒有看太懂,然後今天(3月22日)又折騰了一上午整個一個服務器雲鎖(就相當於看門的警犬,有任何的風吹草動就會提示),而且即使管理員操作ip不加入白名單的話,也會被視爲網站攻擊而阻止,這下服務器只有我授權的ip纔可以操作的服務器和網站,終於算能防衛住自己的主機打贏這場黑客入侵保衛站了,終於能睡個安穩覺,如圖所示
下圖第一條剛纔俄羅斯黑客在嘗試入侵的我的網站,已被實時攔截並加入黑名單
下圖爲雲鎖在做雲服務器安全檢查
文章的最後總結一下服務器和網站防黑客入侵經驗:
1、防火牆不要關,端口用到那個開那個,不用的要立即刪除,對於一些重要特殊端口最好限制訪問ip(設置爲只有自己的網絡IP訪問最安全)
2、使用國外的開源程序不要輕易對外開放註冊,因爲國外的黑客數量龐大而且老外黑客很熟悉這些網站漏洞,所以很容易被注入木馬
3、安裝一些服務器安全監控軟件,有錢的可以考慮安騎士等企業級安全防護查殺服務,沒錢的可以考慮雲鎖(有點像windows上360軟件)、安全狗等國內的在一定程度提供的免費雲服務器安全防護服務。