Blog 被黑记录

最近这个 blog 被黑了，如果你恰巧那一天访问，你会看到所有数据都丢失了，网站打开的页面，是一个初始配置数据库连接的页面。我记得几个月前，这个 blog 曾经遭受过 XML-RPC 攻击，我当时把问题的分析和处理记录在了这里。这一次，可不只是网站拒绝服务这样的问题了，而是整个网站的数据库都被干掉了。

被黑记录

问题出现的时候，网站访问不了了，我登上 MySQL 数据库查看了一下，发现所有数据都删掉了，只留下了一个 WARNING 的表：

上面说的也很清楚，让我往指定地址打 0.08 个比特币，他们就可以把数据还给我，要不然 10 天以后就会把数据库里的数据公开。在 Bitcoin Abuse Database 上，我找到了类似的数条记录。

还好，我每天都有备份，因此丢失的数据其实比较少。当然了，这是我个人的 blog，并没有存放什么私密的信息。

之后，我留意到黑客在我的 WordPress 目录中留了一个后门文件：

在 wp-content/plugins/index.php 中，也加上了类似的内容。这段逻辑也不难理解，请求参数 lanfren 的串在 md5 之后，如果和指定串相等，就用 base64 解码 lanfra 的参数（估计参数值是一串代码），并使用 eval 执行。

但是这件事情倒是在催促我，即便是个人 blog 站点，必要的安全加固操作还是要做的。之前这些年来都没有出现问题，但是这次在 VPS 切换后没有几周，就出了这样的幺蛾子。

安全加固

下面就是一些必要的操作。

密码更换

首先，需要更换掉密码，主要包括 WordPress 的密码，以及 MySQL 的密码。

WordPress 存储密码的时候，是经过摘要了的，并非密码原文，但是更换密码依然是推荐的方式。

另外，我推荐大家都去‘;–have i been pwned? 这个网站上看一下自己的 email 账号信息有没有泄露，我的几个 email 里面，大部分都已经跪了。

这个网站上也有一个链接，链到 1password 上去，安装这个 app 以后，可以检查自己的密码是否已经泄露（它使用密码散列后的串来进行校验，因此不用担心在这一步泄露密码）：

当然，记住那么多密码也是比较困难的一件事情，我使用密码管理软件 LastPass。

使用密钥登陆

以前这篇文章已经介绍过。

清理 php 文件

php 是真正的代码文件，访问就可以执行，因此这些文件是首先要认真对待的。

WordPress 默认的目录下，有一些 php 文件是可以拿掉的，这样就杜绝了用户的访问可能。哪怕这些文件都是有用的，也可以压缩存放到其它地方去。

有一些文件可以改名隐藏起来，比如登陆用的 wp-login.php。如果需要这个文件，不能删除或改名，但又不想用户访问，那就可以用.htaccess 或 Nginx 配置来保护起来。

Nginx 配置

有一些访问我是想屏蔽掉的，比如：

4xx 和 5xx 的页面也统统导向一个不暴露 Nginx 信息的页面：

关闭 MySQL 的远程模式

编辑/etc/my.cnf，添加：

重启 MySQL：

这样就杜绝了远程访问数据库的可能，MySQL 只能通过 localhost 来访问。

PHP 和 WordPress 升级

PHP 的版本是 5.6.40 的，太老了。使用 lnmp 自带的升级工具 upgrade.sh 就可以完成。

还有一个事儿是 WordPress 升级，这个在管理台就可以完成。

几个有用的插件

第一个是 UpdraftPlus，这个比一般的备份功能更好的是，它把备份后的上传功能集成进去了，我配置了备份以后上传到另外一台 FTP 服务器的功能。

第二个是 Sucuri WordPress Plugin，有一些很实用的安全方面的功能，比如 WordPress 文件完整性检查，前面说的那个后门文件就是通过这个插件发现的。后来我使用了 Wordfence，这个功能要更加强大一些，防火墙和文件扫描功能尤其好用。

安全隐患扫描

网上有不少方便的扫描工具，比如 Website Vulnerability Scanner，下面这几个问题在 PHP 升级之后就都解决了：

还有一个是端口扫描，服务器开放的端口自己心中有数，比如可以使用这个工具。

文章未经特殊标明皆为本人原创，未经许可不得用于任何商业用途，转载请保持完整性并注明来源链接 《四火的唠叨》