导语:网站被黑客攻击对于管理员来说打击是很大的。然而不幸的是,很多管理员在过了很久之后才知道自己被黑,而且是通过黑名单的拦截和用户的反馈中得知。
网站被黑客攻击对于管理员来说打击是很大的。然而不幸的是,很多管理员在过了很久之后才知道自己被黑。而且是通过黑名单的拦截和用户的反馈中得知。所以,作为管理员,我们该怎样最快时间知道自己是否被黑了呢?
有很多的工具都能帮助我们检测到,它们都存在一个很关键的共性,就是网站管理员要经常对网站进行检测、管理。我们针对一些常见的黑客行为,整理了下网站被黑后通常有的一些特征。
以下是网站被黑后黑客可能做的动作:
这些例子说明,所有的黑客行为都是不同的,这取决于黑客攻击的目的,那么,我们怎么样识别这些黑客行为呢?
有各式各样的方法可以黑掉一个网站,而且黑掉之后,黑客想做的事情也是各式各样,我们得实现了解下网站被黑后有什么症状,有哪些指标可以判断,这样我们才能更好的配置和部署工具。
1. 变化点的检测
如果你是一个非技术型的管理员,最需要做的就是完整性监测。检测的内容包括网站日志变动,页面完整性,数据库和服务文件,新增文件变化和服务器权限变化。
变动检测无法识别一种行为是正常行为还是黑客行为。只能告诉管理员那些文件变动过,然后进一步通过工具确定是否被黑。
我个人在做变动检测的时候,通常使用的工具如下:
(1)服务器完整监控指标方面,我通常是用OSSEC HIDS(链接:https://perezbox.com/2013/03/ossec-for-website-security-part-i/) (2)在我的WordPress站点监控方面,我主要用的是https://wordpress.org/plugins/sucuri-scanner/
根据你要检测的内容配置你的工具,及时发现问题。根据你的相关应用,甚至函数的不同,优化你的检测工具。这点很重要,例如说,如果你知道上传目录在哪里,实际上这个目录下的文件增加就不需要报警了。不然的话,你的工具会很复杂,迟早你回被这些垃圾通知烦死。
通常,为了直观,我们要把这些信息集中起来,例如说,所有信息都发送到邮箱。这样我们就能实时接收消息了,总之,要把报告集中到监控系统中。
2. 系统和权限监控
监控变化点的同时,我们需要密切关注站点权限的变化。包括账户的创建和用户的登录。简单来说就是要添加一个登录可见性。同时注意一下问题:
为什么一个账户的权限由普通用户变成了管理员? 为什么有个新用户添加?
我们需要一个对每个账号登录的过程进行记录,同时建立一个用户数据库记录他们的用户角色和权限。有很多工具都能做到这一点。
这样的监控对我们还原黑客攻击行为的时候很有帮助,大多数情况下,黑客进入系统后,都会建立创建一个恶意账号,以便进行长期渗透。而且这样的账号通常很容易被忽视。任何一个未授权的账号对系统都是一个潜在的巨大威胁。
3. 免费的在线扫描网站
尽管你已经监控了网站,但是其实很多东西是很难发现的,这个时候用扫描器就是个很好的选择。一些在线的扫描器能很好的帮你识别哪些是普通的广告,哪些是恶意插件。
这样的工具如下:
· SiteCheck Scanner · Unmaskparasites · Redleg Aw-Snap · VirusTotal
前三种扫描器是在线扫描。这些扫描器可以扫到你的网站在不同浏览器,设备或者user-agents的情况下会返回包有什么样的区别,这样就能找到一些特定的问题。这样的在线扫描通常能识别到的都是你网站页面是否包含一些钓鱼页面或者被人挂马了。但是他们无法识别你的网站是否被加入僵尸网络。
VirusTotal本身并没有自己的扫描器,他是调用多种不同的扫描引擎,再将结果汇总给你。
4. 免费的在线监控
充分利用资源,我们可以直接用在线监控系统。我们可以用很多技术提供商例如Google, Bing, Norton等提供的网站管理员工具(例如, Google Search Console, Bing Webmaster Tools).
没有任何一款工具是100%准确的,但是有效的利用这些能给你的网站安全提高一个等级,尤其是这些工具是免费的,免费的,免费的。
目前,越来越多的人选择将使用网站提供商提供全套。将网站出现的问题,网站的部署和监控都推给这些公司。这样是很致命的。我们应该要运用好自己管理员的身份,并且持续关注网站安全。