當心你家有殭屍電腦
如果你在Google Reader或是其他RSS閱讀程式可以看到本文,但是一連到高登工作室的時候,瀏覽器沒有出現任何錯誤訊息只是一片空白,那很可能你的電腦已經中毒了哦!
我也不是那麼好心要幫你抓電腦有沒有中毒,而且也不是你的電腦中毒就會連不上高登工作室的網站,而是因為你的電腦中的是「殭屍電腦」的木馬,試圖要破壞我的網站,所以被我們家「看門的」給擋掉了!
這個現象每天都有好幾位,最多有十幾位會連不上高登工作室的網站,如果你是用撥接的浮動IP上網的話,重撥換一個IP還是馬上又會被系統鎖掉,解決的方法只有真正找出你電腦裡面的毒並殺掉才會正常。
而比較奇怪的是被封的人有許多使用固定IP上網的,照理講連不上高登工作室會問一下別人可不可以連得上吧?而連不上也都沒有人反應!只有一位讀者留言問我是不是把他的IP封了?(當然是要用別台沒有中毒的電腦才能留言),而最近每天被封的IP有越來越多的趨勢,也就是說「殭屍電腦」已經開始氾濫了!
網站的主動防禦
如果同樣是用WordPress架站的你一定會好奇,你用用什麼外掛的?答案不在外掛,而是「VPS」!
因為VPS主機給你的是完整root的權限,所以可以加裝各種的程式,而一般的虛擬主機(共享主機)是不可能給你這樣的權限的。
而目前我使用的是一套跟cPanel配合度不錯的CSF(ConfigServer Firewall)防火牆以及另一個IDS的模組,這兩套程式都是免費的。
而能夠抓到的異常行為我舉幾個例子,第一個就是這個使用程式來爬網站的行為,這個有許多都是從國外各個虛擬主機商的IP來的,有可能是那些主機被有心人士租來做壞事,也有可能是主機被駭之後被遙控來做壞事。
第二種就是今天我主機的某一位站長他的電腦成了「殭屍電腦」,連自己都連不到自己網站的前後台,這也是很常見的。
另外一種是大家都聽過的「SQL Injection」SQL注入,利用網站的漏洞來入侵你的SQL資料庫。
還有這種玩FTP暴力猜密碼的「Brute Force Attack」也會被擋掉。
甚至同時有太多的連線數也會被擋,這一般都是DDoS攻擊或是用程式在撈你的站才會有這種的連線情況。
解決的方法
如果你不幸成為「殭屍電腦」的受害者而連不上高登工作室的話,首先就是要把電腦中的木馬抓出來,真的不行請人家解毒或是重灌,如果你是固定IP上網的請你確定毒已解掉之後到我的噗浪Plurk「私密留言」告訴我你的IP是多少,我再幫你解鎖。
而之前那位來反應的讀者說他毒沒抓到,但是在裝了「趨勢科技WTP」之後暫時可以正常瀏覽不會被封,不過這只是權宜之計,請你務必將木馬病毒真的解掉。
還有毒解掉之後不要忘了改掉你所有在中毒電腦中用過的密碼,因為這些密碼應該都已經外洩了,切記!
延伸閱讀
- 微軟資安獻策:有毒的電腦網路隔離:好像我已先起步了!
- 蠕蟲攻擊 企業戶小心:小心不要亂點Stuxnet的搜尋結果頁面,可能有毒!
連線很正常:D
很好
那這網站也可以做測試...
不是中毒或中木馬就連不上哦,只有特定的毒才會連不上
好的使用習慣,創造安全的電腦環境
太多人電腦成木馬溫床而不自知了
之後考慮也來轉換成VPS好了!
企業用的網站安全值得投資^^
等待你的加入
殭屍病毒或許怕大蒜防毒(笑
大陸的比較怕師公英
好炫喔~~
還可以這樣測木馬
好啦!我承認這是閃光文
我新的電腦都沒有中過毒所以沒問體
不過舊的電腦有中過毒不過都清掉了
通常對於「一般」的使用者而言,如果沒有加裝防毒軟體應該都不會知道電腦已經遭駭客植入惡意程式了,就算有裝防毒軟體也沒有任何一間廠商敢保證100%偵測的到惡意程式。
個人長期對於清除惡意程式的經驗而言,除非是真的有特殊需求,非得把惡意程式給找出來並加以分析,這需花費大量時間與精神,反而重新將硬碟格式化+安裝與更新作業系統的時間還比較快速。
實務上而言似乎唯有「重新安裝作業系統」才夠100%保證清除惡意程式,但我想最重要的還是使用者需提高資訊安全意識,平時要養成良好的電腦使用習慣,避免駭客有機可乘入侵資訊設備。
文中提到的一位當事人電腦重灌了還是連不上,也就是說他的重灌過程毒又上身啦!
我再來發文說明一下真正乾淨的重灌步驟
連線正常 +1
hahaha......
好像真的只有重灌才安全@@"
但看到前一則留言大哥所回覆的重灌中中毒@@" 心裡不免怕怕
因為他的隨身碟有毒,防毒抓不到所以又中了
原來如此。不過,他還滿慘的=.=|||
高老師~~我想請問!
我去聽一個網路行銷的課程~但是~最終~目地是
買一套軟體!!facebook 自動加好友工具...等等
這是~借由fb做為平台!!讓更多人加入粉絲團!!等等
但是我很好奇~~這是詐騙嗎???還是~~軟體其實沒這麼貴
還是~效果不大呢??~~
看你對粉絲團的期望值是什麼囉?
這對某些公司或個人或許有一定的效用,就好像遊戲掛網打怪一樣,但是我要問:那些打到的寶物真的是你的嗎?
網路行銷是一個賺錢的行業,但是請你先了解賺錢的人是誰?
請問為什麼有時候我連貴站會顯示
網站似乎暫停服務或目前過於忙碌。 請稍後再重試。
* 若您無法瀏覽任何網頁,請檢查網路連線。
* 若您的電腦有開啟防火牆或 Proxy 代理伺服器,請確認這些設定是否正確並允許 Firefox 建立網路連線。
但有時候是正常耶??
這就是這一篇想要解釋的,你不妨換Chrome試試,而Firefox我也會再連連看是不是有你說的狀況
剛剛發現好像我只要用118開頭的ip連就會出現了.....
不知道是什麼問題...
另外謝謝您的回覆!
整段118開頭的都被封了,我已經解除了
謝謝你的回報
请问高登大,是不是封锁了171.xxx.xxx.xxx这个IP段,现在用124.226.xxx.xxx这段IP能访问贵站。
我沒有封鎖171的網段,你可以用 tracert 看看到哪裡不通
如果用tracert跟踪www.gordon168.tw的路由是全通的,如果跟踪gordon168.tw那就是到12 _ 72.11.150.106, RTT 333 ms >> 美国 加利福尼亚州洛杉矶Oc3网络公司就不能继续了。
這樣是在我家門前被擋掉沒錯,可是我沒有封鎖你說的IP啊?
我再來找找看是什麼原因
Traceart是通的:
Tracing route to gordon168.tw [206.253.165.170]
over a maximum of 100 hops:
1 541 ms 73 ms 60 ms 115.168.83.145
2 120 ms 160 ms 332 ms 115.168.51.97
3 88 ms 69 ms 74 ms 202.97.77.9
4 74 ms 67 ms 64 ms 202.97.33.226
5 116 ms 73 ms 72 ms 202.97.61.242
6 255 ms 249 ms 239 ms 202.97.50.98
7 389 ms 344 ms 332 ms 202.97.49.158
8 288 ms 291 ms 287 ms 218.30.54.98
9 373 ms 303 ms 312 ms ae0-90g.cr1.lax1.us.nlayer.net [69.31.127.141]
10 399 ms 324 ms 320 ms ae1-50g.ar1.lax2.us.nlayer.net [69.31.127.130]
11 319 ms 295 ms 335 ms as29761.xe-1-0-2.ar1.lax2.us.nlayer.net [69.31.121.254]
12 269 ms 246 ms 239 ms lax13.distrib.core01 [67.215.251.230]
13 252 ms 244 ms 279 ms quadra-hostg-gw.hostigation.com [72.11.150.106]
14 414 ms 242 ms 270 ms kvm.gordon168.com [206.253.165.170]
Trace complete.
你要用不通的171 IP測試
邪見小弟我 剛剛才"又"把亂馬的爸爸踢走了
結果上個網 想說來你這邊看看 還以為中標
畢竟我都把群組原則的安全性拉到最高(其實只是小小的設定 哈!)
想挑戰現在有多安全了 XD 我同學也是這樣
過了不久就能連到你這邊了 真怪 難怪高登大大說 不一定是中標
連線也很正常 也沒中毒的跡象 倒是老媽一開機 我就被她嚇死
又以為中標 她按到空白鍵 難怪上網會一直往下拉
今天中午機房那邊的線路出了一點問題,所以有將近一個小時網站是連不上的,下次如果再連不上你找我韓國跆拳道那篇文章有教你怎麼測網站是不是掛了
感謝高登大大 那篇我有看過 寫的超讚的
但我還是怕死 看來這次刪除的時間很長 又創下了紀錄了
哈哈 畢竟 我現在也沒有錢來請人維修 也沒多少知識來自己解毒
唉唉~ 還是受人保護比較保險