【Life】從網站被駭學到的幾件事

首先說聲抱歉,因為自己的疏忽導致網站掛了三天才發現。

昨天早上想要在自己的Blog查一下之前寫的資料,才赫然發現打開Blog連結之後會被導到另外一個奇怪的網址。一開始沒有意識到是網站被駭,還以為是瀏覽器的問題,幾分鐘之後才恍然大悟原來網站被駭客動過手腳,這也是這個網站架設四年多來第一次被駭客入侵。

首先立刻遠端登入主機確認狀態,我不確定被導過去的網頁有沒有問題,總之把/var/www/html檔案夾先改名成/var/www/html_copy,避免使用者繼續連到我們的網站。網站伺服器(Apache)看起來一切都正常,只有網站本身被駭客登入竄改了首頁連結。如果是這樣就非常好處理了,只要把資料庫跟wordpress的檔案全部恢復到『案發』前的時間即可。

但問題是要如何確定『案發』時間?

當我把資料夾改名之後沒多久便收到Jetpack的警告信,說我的網站目前沒有辦法被存取,這時才想起來Jetpack有提供網站活動監控的功能。查了一下記錄發現這個駭客原來在四天前就透過wordpress的漏洞入侵網站,不僅建立新使用者還更改使用者權限變成管理員,再用管理員權限更改首頁連結。

看起來這傢伙真是吃飽太閒,3/20~3/22三天內多次更改網站首頁連結。對於我這個流量沒有很大的個人網站而言,真是覺得『受寵若驚』啊。

在正常的狀態下,所有的使用者活動記錄都會記錄下該使用者的名字與權限,而那位駭客留下的記錄並沒有任何使用者資料,所以個人推測應該是使用Script來操作這一切的行為。

正常的登入記錄

再來看看每日流量統計。

很明顯的可以看出來3/20開始的連續三天幾乎沒有流量,我也繼續回溯更早之前的網站活動紀錄,並沒有看到可疑的行為(除了有人嘗試想要登入),所以可以確認駭客是3/20入侵網站。我接著將事發前的資料庫、wordpress備份從s3下載回來做了回復,輕鬆搞定。

昨天幾乎花了一整個工作天在處理網站被駭客入侵的事情,不過大部分的時間其實是花在後續處理上(包括系統升級、安裝必要的程式…etc),回復網站正常運作倒是花不到半小時就處理好了。只是目前始終想不透駭客到底是透過何種方法入侵wordpress的,但是我可以確定的是駭客並沒有入侵AWS主機。

這次的網站被駭事件,讓我學到了幾件事情。

  1. 網站內容(包括資料庫、程式)要定期備份:這點非常重要,有定期備份,當遇到事情時可以很快的回復運作。
  2. 移除所有用不到以及很久沒有更新的Wordpress themes和plugins:這次的事件之後我一口氣移除掉幾個好幾年沒有更新,看起來會有安全疑慮的plugins。雖然可能會造成使用上會有一點點不便,但是至少可以降低網站被入侵的機會。
  3. 使用可以做活動監控的plugin:我使用的是Jetpack,這次事件幫了很大的忙。
  4. 提高網站的安全防護等級:我使用的是BPS Security,雖然無法100%保證之後不會再出事,但至少聊勝於無。
  5. 檔案要分散儲存:目前網站上所有會使用到的圖片、影片全部都是用外連的方式,並沒有放在主機上。假設今天網站受到DDoS攻擊整個掛掉、或是被病毒入侵,都可以很快的重建一個全新的主機、安裝Wordpress和相關軟體讓網站用最快的速度恢復運作。

(Visited 401 times, 1 visits today)