林三是也
自2011年活跃至今的独立博客玩家,zblog银牌设计师,原"林三随笔"博主。
-
衡天服务器被黑导致域名输入后跳转赌博网站 开年上班的适应期很快就结束了,当我正式进入状态,准备好好大干一场的时候,却收到了腾讯的电话。 因为是客服电话号码,所以差点准备拒接的,但是考虑到林三的业务范围比较广,不想错过正常的工作内容,就接听了。虽然也只是机器人的对话,但是却传递了一个重要信息:我的网站首次进入后跳转赌博网站这个事情,已经被腾讯云关注到,并提醒我做好相关措施,否则可能要承担相应的后果(当然电话里只是委婉提示)。 域名首次进入会先跳转广告 这个事情并非是腾讯通知后才发现,早在去年期末考试的时候,我就已经发现。当时正在写宝宝日记,打开域名发现了跳转,因为是100%跳转,所以想着难道是博客程序被污染了吗?于是问了豆包,而豆包给的回应是,可能是域名劫持或者DNS污染什么的。后来我按照豆包的建议,做了缓存清理,包括重启路由器,却依然没有好转。 因为只有写宝宝日记的时候我才用手机打开过域名,所以以为只有这一个网站有问题。 直到我在手机上面尝试打开所有自己的子站点,发现全部都会跳转,才推算是不是服务器出了问题,于是继续和豆包深入交流。为了确认是博客程序污染被污染,还是服务器被黑,我又重新安装宝塔主机环境文件,尝试安装新的子域名程序,发现新开的子域名也是会跳转到赌博网站,最终确认了是服务器层面的污染。 服务器被黑的解决方案 通过修复宝塔主机,重新安装服务器的环境文件,发现这个赌博网站的跳转都没有停止。豆包最后建议我重新安装操作系统,毕竟更深层次的修复和查杀林三也做不来。于是备份网站文件和数据库,在重新安装操作系统,重新安装宝塔主机,重新搭建博客程序。 网站文件好恢复,但是数据库恢复遇到一点点问题。一些高版本数据库的文件无法在sql5.7里面恢复,所以几方研究,权衡利弊后安装了sql8.0,既保证了数据库版本的兼容性,又照顾到了服务器内存的利用率。最后,还需要将恢复后的网站全部修改密码。毕竟服务器被黑,里面的数据库保不齐已经暴露在地下市场,为了防止二次损失,更改一个复杂的密码是非常有必要的。同时,为了防止服务器再次被黑,林三对服务器的安装也进行的强化设置,只能使用密钥进行ssh连接什么的... 攻击服务器的ip是俄罗斯的 恢复数据内容后,在宝塔主机面板可以看到正在试图攻击我的ip地址,已经尝试ssh登录77次了。于是立刻关闭ssh远程密码登录,修复了几个基础漏洞,至于其他复杂的漏洞,只能慢慢学习来解决。查询了下这个ip地址,搞清了一些信息: IP 地址:77.53.233.61 归属地:俄罗斯(Russian Federation) 运营商 / ASN:AS12389(Yota LLC / MegaFon),属于俄罗斯移动运营商的公网 IP 段 类型:动态 / 拨号 IP(非固定机房 IP,更像肉鸡 / 代理节点) 总结 网络数据需备份,生产平台要留心,安防技术水很深,但是慢慢摸索慢慢学,还是可以防范大部分损失的。