tw-blog.com 這是我們一個cpanel教學網站,單純使用html撰寫的,但因為太久沒有去維護(因為改用blog.unethost.com 以及 知識庫 去更新文章),竟然被駭了……
請在往下看我們的處理方式:
- 第一天,當我們自己在瀏覽網站時,發現首頁出現很多廣告內容(如下圖)。
第一次發現後,只是單純將index.html改回原來的檔案,並修改主機密碼,
但是結果隔天又被寫入木馬。
- 第二天我們仔細看了ftp內的檔案,發現多了很多垃圾資料夾,其實裡面都是木馬檔。
- 本來打算直接用異地備份去還原的,但是使用最近的備份日期還原後,
還是有很多木馬檔在裡面,表示被駭很久了,連備份檔都有問題。
- 手動將額外的資料夾及檔案全都砍掉。
- 並將每個檔案都打開來看看,只要有不正確的內碼,
全都要移除,下列圖片所示就是有問題的code,還要在改一次空間密碼。
- 隔天在來觀察一下,已經沒有在被寫入木馬code了。
我們檢討了這次被駭的原因是於,我們有透過cpanel的備份功能,
而將整個網站的備份檔案,擺在 tw-blog.com/backup 底下,
可能因此被掃到,而被下載回去破解了密碼,所以backup資料夾,
我們也刪掉了。 駭站的手法太多,下次我們會在介紹更為奇特的情況。