服务器被黑客 webshell 入侵记录
前言
今天早上起床洗漱完下楼吃饭,吃到一半腾讯云给我发短信说服务器有恶意文件上传。
当时我只是看了一下准备吃完饭再上楼开电脑看看是什么回事,结果就是那么一小会文件什么的都被改了,把他编码之后的文字解码出来全是跳转到某个菠菜网站,我实在没理解为什么找上我,我博客本身也没几个人看,一天的ip都不过百。
排查问题
于是赶紧一顿排查,这不查不知道,一查吓一跳。那个恶意的挂马文件,竟然早在 4 月份就神不知鬼不觉地上传到我的服务器里了。并且腾讯云还没检测到他那个木马病毒,整整两个月,我和腾讯云都没发现这个潜藏的“定时炸弹”,现在想来真是后背发凉。也不知道在这两个月里,黑客通过这个文件干了多少坏事,窃取了多少数据,对服务器造成了多大的破坏。
当时发现问题的时候,心里又气又急。气的是黑客太可恶,好好的服务器就这么被盯上了;于是我先把网站有用的进行了紧急关闭,由于不知道还对什么文件进行木马防止,也防止黑客继续攻击和数据进一步泄露。也开始仔细分析日志文件,想找出黑客入侵的蛛丝马迹。(这里非常感谢 @榆木 大佬的帮助)但是无法查看进程本身的信息,所以也不知道咋写进去的。
后续
之后我自己折腾了大半天,我把原来的网站文件全部删除重新安装了,还对服务器进行了全面的安全加固,把博客更新最新版本,加强了权限管理,设置了更复杂的密码。这次经历给我敲响了警钟,以后可得定期检查服务器,做好安全防护,不能再让黑客有机可乘了。 要是再有这么一次,我非得被折腾得掉层皮不可。