为了确保您的网站安全并防止日后遭到黑客入侵,您需要做好以下准备:
- 拥有网站服务器(Web、数据库、 文件
- 了解 shell 或终端命令
- 懂代码(如 PHP 或 JavaScript)
- 用于创建网站的备份的存储空间,包括文件、数据库、 和图片
后续操作
我们将在此步骤中介绍几种操作:
- 如果您认为黑客意图 获取用户的个人信息(例如网上诱骗网页)。
- 使用移除网址的选项 以便更快地移除全新、不良的 由黑客创建的用户可见网址,而您不希望出现在该网址中 Google 搜索结果。
- 请求 Google 重新抓取您的网址 以便 Google 更快地处理干净的网页,-- 指的是您希望 出现在 Google 搜索结果中。
- 安装最新、最安全的软件版本。
- 删除不必要或不使用的应用或插件, 将来更容易受到攻击
- 恢复正常内容并清除黑客的内容。
- 修复被黑客利用的根本原因漏洞。
- 更改所有密码。
- 做好规划,确保您的网站安全无虞。
1. 查找支持资源
如果 Google 从您的网站获取了机密用户信息(例如, 因为这是网络钓鱼攻击的一部分),您可能需要考虑 商业、监管或法律责任 或删除任何文件。对于钓鱼式攻击, antiphishing.org 中有一项实用的资源,例如 他们的文档如果网站遭到黑客入侵该怎么办 钓鱼式攻击者。
2. 考虑更快速地移除由黑客创建的新网址
如果黑客创建了全新、用户可见的网址,您就可以 使用 移除网址 功能这是可选步骤。如果您只是删除页面 然后将您的服务器配置为返回 404 状态 代码, 随着时间推移,网页自然就会从 Google 的索引中消失。
- 是否使用“网址移除”功能,可能取决于新、 创建不需要的网页(如果将过多的网页添加到 移除网址)以及这些网页可能给用户造成的损害。 为了阻止通过“网址删除”功能提交的网页, 请确保这些网页也配置为返回 404 针对不受欢迎和已移除的网址的“未找到文件”响应。
- 请勿使用此工具请求移除任何存在以下情况的 只是被黑客破坏了您希望这些网页出现在以下位置: 清理它们后获得的结果。网址移除仅适用于网页 您再也不希望出现在搜索结果中
3. 考虑加快 Google 对您正常网页的处理速度
如果您有新的或更新后的干净网页,可以 请求 Google 重新抓取您的网址 ,将这些网页提交给 Google 的索引。这是 可选;如果您跳过此步骤,那么您的新网页或修改后的网页很可能会 经过一段时间的抓取和处理
4. 开始清理您的服务器
现在,是时候根据您记下的笔记开始清理您的网站了 在评估受破坏程度过程中 找出漏洞。通过 此步骤取决于您可用的备份类型:
- 正常且最新的备份
- 正常但已过期的备份
- 无备份
首先,检查您的备份是否是在您的网站被黑客入侵之前创建的。
正常且最新的备份
- 恢复您的备份。
- 安装所有可用的软件升级、更新或补丁。这包括 软件、操作系统、操作系统、 例如内容管理系统、电子商务平台、插件或模板。
- 考虑从您的服务器中移除该网站不再使用的软件(例如 微件、插件或应用)。
- 修复漏洞。
- 确保在评估受破坏程度过程中发现所有问题 都得到了妥善处理
- 再次更改与该网站相关的所有账号的密码 (例如用于 FTP 访问、数据库访问、系统管理员和 CMS 账号)。在基于 Unix 的系统上:
passwd admin1
正常但已过期的备份
- 为当前网站制作磁盘映像(即使该网站仍处于受感染状态)。 但为了安全起见应保留此副本。将该副本标记为受感染 与其他代码不同在基于 Unix 的系统上,可以使用以下命令制作磁盘映像:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
- 为服务器(包括图片和媒体)创建备份文件系统副本 文件。如果您有数据库,还请同时备份数据库。
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
- 在您的服务器上恢复正常但已过期的备份。
- 考虑是否可以从服务器上清除软件(如微件、 插件或应用)。
- 升级所有软件,包括操作系统(如果你控制着服务器) 和所有软件应用,例如内容管理系统, 电子商务平台、插件和模板。请务必检查并安装 可用的安全更新和补丁。
- 修复漏洞。
- 以手动或自动方式执行网站
diff
-- 干净备份与当前受感染副本之间。
diff -qr www/ backups/full-backup-20120124/
- 上传您要保留的干净的新内容, 服务器上的受感染副本
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
- 检查评估受破坏程度步骤中列出的所有网址 已更正。
- 再次更改与该网站相关的所有账号的密码 (例如用于 FTP 访问、数据库访问、系统登录的登录信息 管理员和内容管理系统账号)。在基于 Unix 的系统上:
$passwd admin1
无备份
为网站制作两个备份(即使该网站仍处于受感染状态)。拥有一个额外的 备份有助于恢复意外删除的内容 我们建议您将这两个备份都标为“infected”,以备日后参考。
其中一个备份应是您网站的磁盘映像(“克隆版本”)。这个 格式进一步简化内容恢复操作。您可以将该磁盘映像放在一边 以备不时之需。在基于 Unix 的系统上,使用以下代码创建磁盘, 图片:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
另一个备份将作为您服务器中的文件系统副本,包括图片 和媒体文件如果您有数据库,也请备份数据库。
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
如果您没有磁盘映像,请为数据库创建两个备份和两个备份 文件系统
在新的备份文件系统副本(而不是服务器)中清理网站的内容 本身),请执行以下操作:
- 如果您在之前的调查中发现文件权限过于宽松,请继续 并进行更正。确保在备份副本(而不是服务器上)执行此操作 本身。
- 同样在备份副本上,清理与发现的网址对应的所有文件 在评估受破坏程度部分确认被盗用。这些 可能是服务器配置文件、JavaScript、HTML 或 PHP
- 请务必同时删除(提供 404 响应) (您可能已通过网址移除工具提交此类要求), 。
- 如果您的代码中存在此漏洞或已破解的密码,请修复此漏洞。 输入验证库或安全审核可能会有所帮助。
- 如果您的网站拥有数据库,请首先在以下位置清理被黑客修改的记录: 备份。在觉得大功告成之前,请检查一下更多 以确保数据库看起来干净整洁
- 再次更改与该网站相关的所有账号的密码(例如 例如 FTP 访问、数据库访问、系统管理员的登录名 CMS 账号)。在基于 Unix 的系统上,使用以下代码:
$passwd admin1
此时,您网站的曾受到感染的备份副本应该仅包含 清理数据请保存好这一正常副本,然后执行第 5 步操作。
5. 移除不必要的软件
考虑您能否从服务器上移除软件,例如微件、 。这可能会增加 并简化未来的维护工作。
6. 清理所有服务器
- 请执行全新安装,而不只是升级。升级可能会留下文件
先前版本。如果服务器上仍留有受感染的文件
更有可能再次遭到黑客入侵
- 全新安装应包括操作系统(如果您拥有控制权) 以及所有软件应用(如内容 管理系统、电子商务平台、插件和模板。确保 以检查是否有可用的安全更新和补丁。
- 将正常的备份文件系统副本中的正常内容传输到 新安装的服务器。仅上传和恢复已知干净的文件 文件或数据库请务必保留适当的文件权限和 不会覆盖新安装的系统文件。
- 请最后更改一次与 (例如用于 FTP 访问的登录信息、数据库访问、系统管理员、 和内容管理系统 (CMS) 账号)。在基于 Unix 的系统上,使用以下代码:
passwd admin1
7. 制定长期维护计划
我们强烈建议您执行以下操作:
- 定期对您的网站进行自动备份。
- 注意及时更新软件。
- 了解所有应用、插件和其他 在服务器上安装第三方软件之前对其进行测试。证券 可能会影响您的 。
- 强制创建安全系数高的密码。
- 确保用于登录机器的所有设备安全无虞(更新后的操作 系统和浏览器)。
8. 仔细检查以确认已完成清理
请确保您对以下问题都能做出肯定的回答:
- 如果黑客获取了用户的个人 信息?
- 我的网站上运行的软件是否为最新、最安全的版本?
- 我是否移除了所有不必要或 使我的网站将来更容易受到攻击?
- 我是否恢复了自己的内容并清除了黑客的内容?
- 我是否修复了导致我的网站被黑客入侵的根源漏洞
- 我是否制定了保障网站安全的计划?
您现在可以让您的网站重新连接到网络。