今天真邪门,早上打开自己折腾的小破站,突然跳出来一堆澳门赌场广告,可把我给整懵了。去年租的服务器眼瞅着快到期了,想着省点钱,就在某宝找了个便宜货续了两年。得,这下真掉坑里了。
自己网站变赌场
我先是围着电脑团团转,把浏览器缓存清了八百遍,重启路由器,换手机流量开热点,结果那堆花花绿绿的广告还在那杵着,气得我差点把鼠标摔了。冷静下来一想,肯定是服务器那小子搞的鬼,连夜登录后台翻腾。
- 第一步:翻网站文件
- 第二步:查数据库
- 第三步:查访问记录
直接打开网站根目录翻了个底朝天。多了好几个不认识的文件名,瞅着就不像正经玩意儿!里面全是些鬼画符的代码,里面写着什么澳门新葡京、在线发牌的网址。行嘞,石锤了,这些就是广告弹窗的源头。
打开数据库管理工具一瞧,差点把眼珠子瞪出来——用户表里凭空多出来仨账户,头像用的都是穿黑西装戴墨镜的猛男照!这帮家伙把我数据库当公共厕所了?想进就进?!
翻服务器访问日志真跟破案似的,一页页往下翻。好家伙!半夜三点多钟,有个生面孔地址连着捅我网站几百次,全是些乱七八糟的网址后缀。这不就是在网址后面捣乱么?典型的钻空子手法!
总结出来的四个坑
通宵折腾完,泡面都啃了三桶,总算摸清楚这四个下三滥招数:
- 1. 偷文件、塞私货:要么破解后台密码,要么顺着服务器漏洞往里钻,就像贼撬你家门锁。进来就乱塞文件乱改代码,逼你看他的广告。
- 2. 攻数据库、留后门:钻网站程序小空子,直接在数据库里安插管理账号,以后想啥时候来就啥时候来。
- 3. 网址乱戳、骗权限:逮着你程序的小漏洞拼命戳,戳进去就直接开管理员权限,跟拿根铁丝捅门锁一个道理。
- 4. 文件权限瞎给、让人随便改:配置服务器时候犯懒,图省事把文件权限全开了。得,黑客来了直接写大字报似的瞎改,拦都拦不住!
亡羊补牢搞整改
当天我就干了两件事儿:先在后台把服务器上所有陌生账号全踢了,把那些该死的广告文件挨个删干净,又找了个靠谱平台买防篡改服务,肉疼是肉疼了点但真省心多了。
结果下午找服务器客服理论,对面给我装傻充愣:“亲,后台看起来挺正常?您是不是自己误点了什么?”把我气的差点顺着网线爬过去!反手就给他们挂了某乎避雷帖。
经过这回教训,我把文件权限都锁死了,网站程序更新都设成自动,数据库密码改成了二十多个字符带大小写符号的“天书”——我自己都得对着本子敲。折腾网站五六年,头回觉得搞安全像打地鼠,刚按下一个坑,没准下一个就从背后闷棍敲过来了。
还没有评论,来说两句吧...