駭客可能有多個獨立駭客入侵行動,即使您已找到並修正一個安全漏洞,我們仍建議您繼續搜尋其他漏洞。展開調查時,請詳閱垃圾內容發布者入侵網站的常見方式。
您必須具備下列條件:
- 殼層或終端機管理員可存取網站伺服器:網路、資料庫和檔案
- 瞭解殼層或終端機指令
- 熟悉程式碼 (例如 PHP 或 JavaScript)
- 有能力執行兩個防毒掃描器
後續行動
我們將介紹網站遭入侵的幾種常見方式,希望其中一個方法適用於您的網站,或至少找出其他可能性。
請注意,安全漏洞掃描器與防毒掃描器不同。漏洞掃描器的作用範圍更深入,更能有效防止您的網站受到不必要的損害。執行掃描器前,請先遵循所有指示,例如備份您的網站。
潛在安全漏洞 {potential-Vulnerability}
以下是可能需要調查的安全漏洞:
管理員電腦遭病毒感染
當管理員的電腦遭到病毒感染,駭客可能安裝間諜軟體,藉此記錄網站管理員的按鍵輸入動作。
- 檢查管理員系統是否有病毒。我們建議在管理員用來登入網站的每台電腦上,執行多個可靠的防毒 (AV) 掃描器。由於新的惡意軟體不斷感染也會規避掃描器,因此這不是萬無一失的病毒偵測方法。執行多個掃描器有助於避免誤判,並提供更多資料點,以判斷是否存在安全漏洞。此外,為了安全起見,建議您同時掃描網路伺服器和用來更新或發布至網站的所有裝置。
- 如果 AV 掃描器偵測到間諜軟體、病毒、木馬程式或任何其他可疑程式,請調查網站的伺服器記錄,查看受感染電腦的系統管理員活動。
- 駭客可能已經竄改記錄檔。如果沒有,則進一步將管理員的使用者名稱與記錄檔中的可疑指令建立關聯,即可進一步證明管理員系統中病毒造成網站容易遭受攻擊。
強度較弱或重複使用的密碼
低強度密碼容易遭駭客發現,並讓你直接存取伺服器。高強度密碼包含字母、數字和標點符號組合,且不應包含字典中可能找到的字詞或俚語。一組密碼只能用在一個應用程式中,請勿在網路上重複使用。 因此,如果重複使用密碼,駭客只需在一個應用程式發生一次安全漏洞,就能找到可用於其他地方的登入資訊和密碼。
在伺服器記錄檔中檢查是否有不想要的活動,例如管理員多次嘗試登入,或是發出非預期的指令。記下可疑活動的發生時間,因為瞭解入侵是什麼時候的發生,有助於判斷哪些備份可能仍是乾淨的。
軟體未更新
檢查您的伺服器是否已安裝最新版本的作業系統、內容管理系統、網誌平台、應用程式、外掛程式和網站使用的任何軟體。
- 研究所有已安裝的軟體 (也許可透過網頁搜尋),以判斷您的版本是否包含安全性建議。如果問題已解決,可能是因為過舊的軟體讓您的網站容易遭受攻擊。
- 最佳做法是一律讓伺服器的軟體保持在最新狀態,無論過時軟體是否導致這個特定安全漏洞問題。
4. 程式碼寫法不夠嚴謹,例如開放式重新導向、植入 SQL 指令
開放式重新導向
開放式重新導向會藉由網址結構來編碼,允許新增其他網址,方便使用者取得網站上的實用檔案或網頁。例如:
http://example.com/page.php?url=http://example.com/good-file.pdf
或
http://example.com/page.php?url=malware-attack-site>
- 如果您的網站濫用開放式重新導向,您可能會注意到 Search Console 中的訊息提供了範例網址,透過開放式重新導向,將使用者重新導向至不理想的目的地。
- 如要防止日後再次開啟重新導向,請檢查下列事項:
- 軟體是否預設為啟用「允許開放式重新導向」。
- 程式碼是否可禁止網域外重新導向。
- 是否可以簽署重新導向,只讓具有正確雜湊網址的重新導向,且正確的加密編譯簽章可繼續進行。
植入 SQL 指令
駭客可以在資料庫執行的使用者輸入欄位中加入惡意指令,藉此進行 SQL 插入作業。SQL 插入功能會更新資料庫中的記錄,含有垃圾或惡意軟體內容,或者會將寶貴資料傾印給駭客。如果您的網站使用資料庫,而且遭到惡意軟體感染,那麼您的網站很可能遭到 SQL 插入攻擊。
- 登入資料庫伺服器,找出資料庫中是否有可疑內容,例如原本顯示 iframe 或指令碼的一般文字欄位。
- 如有可疑的值,請檢查使用者輸入內容是否經過驗證並正確逸出;或可能是強型別,因此無法將其當做程式碼執行。如未在資料庫處理前檢查使用者輸入內容,SQL 插入可能是網站的根本原因。