Недавно взломали сайт, который я размещаю. На индексной странице внизу (чуть выше закрывающего тега body) был добавлен следующий код:
<script language="javascript">document.write('<div style="font-family:Tahoma,Arial,Helvetica,sans-serif;font-size:12px;overflow:hidden;color:#FF0000;height:' + (325 * 3 - 974) + 'px;width:' + (18 * 786 - 14147) + 'px;font-weight:bold;margin-top:0px;margin-bottom:0px;">'); </script>
С последующим...
Множество тегов отправляется на спам-сайты...
На нашем сервере установлен suphp, поэтому я не думаю, что это могло произойти с другого аккаунта. На этом аккаунте установлен Wordpress, так что проблема может быть в этом.
Есть ли у вас какие-нибудь советы, куда двигаться дальше?
Спасибо!
решение1
Измените логин по умолчанию для Wordpress и MySQLименаи пароли. Используя имена по умолчанию, вы отдали хакерам половину головоломки с учетными данными.
Убедитесь, что все ваши службы (PHP, WP, MySQL) обновлены.
Проверьте сторонние плагины на наличие известных уязвимостей и обновлений (включая библиотеки и плагины JavaScript)
Это хорошее начало. О, и вы можете начать следить за своими журналами немного внимательнее, чтобы увидеть, сможете ли вы определить, как это происходит, если это повторится.
решение2
Ваши логи, скорее всего, хранятся в /var/log/apache2. Начните поиск в журналах доступа. Вы можете сделать это вручную с помощью grep или использовать такой инструмент, какапач-скальпдля поиска в журналах распространенных уязвимостей.
решение3
Я бы посоветовал установить модуль Apache mod_security:http://www.modsecurity.org/.
Также убедитесь, что код вашего приложения не подверженАтаки с использованием SQL-инъекций.
Также дважды проверьте правила вашего брандмауэра и убедитесь, что для общего доступа открыт только порт 80.
решение4
Некоторые темы, которые могут быть полезны: