|
|
2015-10-10早4:12:12秒,黑客成功入侵服务器,入侵来自福建省福州,使用名字:wanxy,地址117.29.110.189
2015-10-10,4:14:53秒,黑客离开服务,并挂病毒。(相关证据已存档,另行备份)
病毒性能:挂了一个右下角弹窗,指向另一个网站,提示您中了QQ奖,资金12000元,一旦有人点击这个弹窗,就会打开另一个网站,这个网站会提醒客户想取奖金先要填资料,以达到获取用户资料的目的。
2015-10月14日,发现随机时间,随机页面出现中奖弹窗,因为是js的随机外链,不好清理,另外站长重感冒,暂时先公告风险提示,不要相信中奖。
2015年10月16日早4点16分,黑客进网站,把一个新用户提升为副站长,user:testxxx,ip来源广西壮族自治区南宁市
2015年10月16日下午15:15分,黑客用testxxx用户进入网站后台,进行胡乱无目的性更改。ip来源:广西南宁
2015年10月16日下午15:50分,黑客退出网站后台,网站开始工作异常,具体表现是ucenter通信失败,前台用户登陆无法自动跳转,经常 性登陆失败,图片附件上传失败。
2015年10月16日下午16:41分,黑客再次用testxxx身份进后网站后台,进行更新缓存操作,以使之前的更改及时生效。ip来源:广东东莞
2015年10月16日下午16:45分,testxxx退出网站后台。
2015年10月17日,发现网站异常。开始修复,关掉testxxx用户。并查找进行了哪些改动。
2015年10月17日晚,网站病毒清除,配置恢复,但是数据库被破坏,异常。
2015年10月18日,数据库恢复,网站一切正常。服务kill掉wanxy非法用户,一切正常,并反下分析黑客来源及行为,在本次黑客入侵行为中,因为所有用户密码等资料以MD5加密方式保存,包托站长本人在内,均无法查看任何注册用户信息,所以本次行为中,黑客没有拿到任何用户信息,他的破坏行为只发生在两点:
1:挂了一个外链弹窗在网站上面。(已清除)
2:破坏了数据库结构,破坏了网站文件。(已恢复)
关
|
|
发表于 2015-11-9 01:46
发表于 2015-11-9 14:06
加好友78950405
