為什麼是我?不要吧!

今天高登工作室被駭客入侵,不過這一切都是私底下在進行著,大部份的網友應該都沒查覺才是。我特別發文慶祝紀念一下,但是請有用 WordPress 的站長大家要注意一下,因為事情還沒完!

話說今天早上連上網顧一下網站的時間都沒有,等到中午一上線還沒進 WordPress 後台就知道網站掛了!本來以為是主機出問題了,但是要進後台卻出現密碼不對,進不去!

被駭全記錄

而前台卻被轉址指向一個好像是廣告的頁面,

而因為還沒吃飯,所以就先將網站 Suspend 暫停,吃飯先!

WordPress 使用者帳號被改

等到吃飽了喝足了,再來好好看一下到底是怎麼一回事?

首先懷疑檔案有被改過,所以就用備份覆蓋回去,真的前台就正常不會再被轉址了!

但是 WordPress 後台還是進不去!還好主機 cPanel 後台還可以進去,進去之後用 phpMyAdmin 查看資料庫裡面的使用者資料,使者者名稱已經被改成 admin 這個 WordPress 內定的使用者:

被駭全記錄

於是趕緊用 phpMyAdmin 直接改使用者名稱及密碼,這樣子就可以進 WordPress 後台了,但是...

連文章作者的名稱也都都亂掉了:

被駭全記錄

這個去 WordPress 後台的使用者帳號那裡改一下就好了。

被駭全記錄

由於對方到底是如何入侵的還不知道,所以先一個緊急的補救措施:

wp-admin 後台限定只有我的 IP 能訪問,其他的都不行,這個只要在 wp-admin 目錄下新增一個 .htaccess 檔案(直接由主機 cPanel 後台新增最快了)裡面加上這些內容:

<Limit GET POST PUT>
order deny,allow
deny from all
allow from 123.123.123.123
</Limit>

把裡面的 123.123.123.123 換成你上網的 IP 這應該知道吧?或者你是用浮動 IP 上網的也可以設網段範圍,像是:123.123.123、123.123 或是 123 就好了,數字愈少組範圍就愈大,但至少可以擋不是同一個 ISP 或網段的入侵者。

3/26補充:

多謝網友「甘特爾」告知,在根目錄還有一個 wp-login.php 也會顯示登入的頁面,雖然這個不去鎖對方還是進不去管理頁面,但是為了安全起見請在根目錄的 .htaccess 檔案裡面加入這一段程式碼:

<Files wp-login.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

這樣就算再度被入侵,對方也進不了你的 WordPress 後台。

果然又來了!

不出所料晚上吃飽飯又發現 WordPress 後台又進不去了,而且還把的正在寫準備發的文改了,不過照理講他 WordPress 後台已經進不來了,但是還是可以改你的文章,這就有點恐怖了!

於是趕緊又發了一篇此地無銀三百兩的「網站被駭了!」,請對方手下留情!

被駭全記錄

而轉址出去的網站是一個阿拉伯文的網站,看到阿拉伯文大家一定會想到最近很活躍的「伊朗網軍」,請他們高抬貴手放過我吧!

目前這樣子的作法已經是 Apache Server 層級的鎖頭了,至少比 WordPress 或是單純外掛來擋安全一點,但是只是治標(因為帳號還是會被改,但是至少轉址先止血了)

最後你想知道我為什麼還沒進 WordPress 後台就知道網站掛了嗎?就是這個 http://whos.amung.us/ 的網站監看服務:

被駭全記錄

如果網站有問題,他的最少人數 Min 就會是 0 ,不過前提是要你的網站一直都有人,所以每天看一下曲線圖就知道網站是不是曾經掛點了!

最新更新

昨天晚上研究了好久已經確定從是中東地區來的 IP(加薩走廊)!而且是從搜尋引擎找我這台主機上的 WordPress 目標下手,所以各位大家在入侵手法未明之前先用我這一招 wp-admin 限定 IP 的保命式用著,至少就算他找上你了也不會再有進一步的傷害。

被駭全記錄

另外我把 Apache 的 access.log 放在 https://gordon168.tw/download/hack.txt ,或許有哪位高手能告訴大家他是怎麼辦到的?我這個老花眼是看不出來啦!