現時網站已成為了找尋生意不可或缺的平台,而有些公司更會依賴這些網上平台進行銷售,例如一些知名的服裝品牌、電子產品、電腦軟件等,假如公司的主要業務需依賴網上平台進行銷售的話,那網站是否能正常運作便直接影響著公司業務及營收。

另外,這些銷售平台由於涉及買賣,當中自然擁有著大量的用户個人資料以及交易訊息,這些都是有價值的,因此駭客往往便看準這些平台進行攻擊,試圖令這些平台的運作出現問題並同時嘗試進一步取得這些平台背後所儲存的用户資料。

提到網頁入侵,不幸地!我們的經驗也是相當豐富的。

而今次編寫這文章的主要原因是我們其中一個網上銷售平台剛剛才成功被駭客入侵,而成功被入侵的主要原因是平台之中的一些插件長久沒有更新所致,所以說常更新是十分重要的。

因此筆者便藉由這次被入侵的修復工作,一邊進行修復,一邊將整個修復過程節錄下來,從而作為本文的主要內容。

如何發現網站出現問題?

今次我們發現網站出現問題的其中一個最明顯之處就是網站系統不能成功發送電郵,這意味著所有於網站之中完成購買過程的用户都不會收到由系統自動發送的確認電郵,於是在進入 Log 調查之後,竟發現出現很多假的電郵地址並針對外國的指定電郵發送垃圾郵件攻擊,而且發送時間是以每秒一封的速度進行,很明顯這並非正常的動作。

另外,我們於 Log 之中亦發現了很多由 Google 等大型機構自動回應的 Log 訊息,當中指出 IP 已被加入 RPL (Realtime blacklist)之中,這更進一步確定了已被駭客入侵。

先確定自己是否已經「中招」?

在進行修復前的第一件事,就是希望先再確認一下 IP 是否真的被加進黑名單。現時網絡上有很多平台可進行這些檢查工作,而且大部份都是免費及無須安裝的。就今次事件,筆者主要採用了一套名為 MxToolBox 的工具進行,使用方法十分簡單,進入網站後,只需按上方的【Blacklists】,然後輸入你的網站網址,便可看到一份統計報告。

在這裡大家可看到網站本身是否已被加入到黑名單,如果有發現被加入到黑名單,作為管理員你便需要逐一排除這些令你被加入到黑名單的原因,當然你亦需要向有關的機構聯絡以便將網址從黑名單之中除名。

如何進一步進行修復?

當你確定了網站已被入侵後,下一步就是要將問題解決。一般來說,針對網站進行入侵的方法很多時都是通過採用編程上的一些弱點或漏洞,又或者是通過數據庫之中植入編碼繼而更改程式以作進一步行為,因此要解決危機,其中的一個最簡單方法就是通過對伺服器之中的檔案進行檢查。

然而伺服器之中擁有這麼多的檔案,要怎樣做才可揪出已被植入惡意代碼的檔案呢?其實並不複雜,只要採用一套名為 ISPProtect 的工具便可。

首先你需要擁有伺服器的存取權限(假如你只是使用共享寄存計劃的話,便無法使用此工具),接著完成安裝後,再簡單的參考網站上的指令輸入後,軟件便會即時針對指定的 Path 進行掃描,最終會找到出現異常的檔案並輸出 Log 檔,然後大家只需按照 Log 檔的資料,並針對中毒的檔案進行清除,這樣便可將有問題的檔案全部 Clear!並令網站回復正常了。

其實過程並不複雜,只不過你需要注意的是,當你成功令網站回復正常後,請緊記重新審視編程上的漏洞,以避免有關漏洞再一次被駭客利用進行入侵攻擊。

感謝 Lapcom 提供協助


 網站被黑名單嗎?輕鬆找出網頁中毒檔案、解除被封鎖危機!

 https://www.facebook.com/hkitblog