我做网站安全维护这些年,见过的离谱事比电视剧还精彩。
上个月一个客户半夜两点给我打电话,声音都在抖,说他公司的网站打开以后满屏都是阿拉伯文,还配了一张骷髅头图片,背景音乐是那种寺庙里敲钟的声音。我说你别慌,这是被黑了,不是闹鬼了。他问我严不严重,我说对你来说挺严重的,对我们来说就是常规操作。
这种事在我们行业叫"网站篡改",说白了就是有人偷偷进了你的网站后台,把你首页的内容全换了。常见的是换成各种奇怪的政治标语或者黑客留名炫耀,碰上宗教极端组织类型的还会换上很吓人的内容。你第二天早上一打开网站客户一看以为你公司怎么了,电话都不敢打过来。
为什么会被黑?大多数情况不是因为你得罪了什么人,而是你的网站太好欺负了。
我接手过最多的案子是这么一类情况。客户网站是好几年前找人做的,用的WordPress或者帝国CMS这些开源程序,做完了以后就再也没人管过。后台密码是admin123,程序从来没更新过,漏洞补丁从来没打过。这种网站在黑客眼里就跟敞开大门的仓库一样,人家拿个扫描工具在网上一扫,你的漏洞就暴露了,进去跟逛自家后院一样随便。
还有一种攻击叫SQL注入,名字听着很专业,原理说穿了很简单。你网站上有个搜索框或者表单,本来是用来让访客输入信息的。黑客在那个框里不输入正常文字,输入一段特殊的代码,如果你的网站没有做好防护,这段代码就会直接操控你的数据库。轻则把你所有客户信息偷走,重则把你整个数据库删掉。我碰到过一个做外贸的客户,产品数据全没了,几年的积累一夜之间归零,那场面比恐怖片还恐怖。
这两年特别流行的一种玩法叫"寄生虫页面"。你以为你的网站好好的,其实黑客偷偷在你网站的某个隐藏目录里塞了几百个垃圾页面,上面全是赌博、色情之类的内容。你平时浏览网站根本看不到这些页面,但Google能看到。等你哪天发现网站在Google里突然冒出来一堆乱七八糟的日本链接,排名一落千丈的时候,你才知道自己的网站早就被人当成了引流工具。这种最恶心,因为你清理完一次他可能还会再来,得把后门找干净才行。
DDoS攻击我也遇到过。简单说就是有人用海量的虚假流量涌向你的网站,把你的服务器挤爆,正常用户根本打不开。有个客户是做建材出口的,网站突然连续三天打不开,换了服务器也不行,后来查出来是竞争对手干的。这种攻击技术含量不高但杀伤力大,就好比有人在你店门口堵了一万个人不让真正想买东西的客户进来。
密码暴力破解也是高频出现的。黑客用程序自动试各种用户名和密码组合,一秒能试几百上千次。你的密码要是简单点比如用公司名字加个123,人家几秒钟就试出来了。进去以后干什么的都有,有的直接改你网站内容,有的在你服务器上挖矿,用你的服务器资源去挖虚拟货币。你的网站速度突然变得奇慢无比,一查服务器CPU占用率百分之百,大概率就是中招了。
说了这么多吓人的,说说我怎么应对的吧。
说实话大部分情况处理起来没那么玄乎,核心就一个字:勤。勤更新、勤备份、勤检查。程序有新版本了及时更新,数据库每天自动备份一次,安全插件定期扫描一下。听起来很朴素,但做到这一步就能防住百分之八十的攻击。
剩下那百分之二十碰上了就得靠经验了。我每次接到客户的求助电话,第一件事是先把网站跟外界隔离,别让黑客继续搞破坏。然后查日志,看他从哪进来的、干了什么、有没有留后门。找到漏洞修补好,把后门清理干净,再把网站恢复回去。整个过程有点像医生做手术,先止血,再治病,最后缝合。
我最得意的一次是一个客户被植入了寄生虫页面,前一个服务商帮他清理了三次都没清干净,每次过两周又冒出来。我接手以后花了两天时间把所有隐藏的后门全挖了出来,一共有七个。那些后门藏得五花八门,有的伪装成正常的图片文件,有的藏在主题文件的注释里,还有一个更绝,伪装成了WordPress自己的核心文件。全部拔掉以后加固了一套防护,到现在半年多了再没出过问题。客户非要请我吃饭,我说不用,你把服务器密码从admin123改掉就是对我最大的感谢。
这行做久了还有一个感悟,就是很多企业主对网站安全的态度就是没出事的时候觉得无所谓,出了事以后才急得跳脚。我理解大家都忙,生意上的事都忙不过来,谁有空管网站安不安全。但你想想你网站上挂着的产品信息、客户询盘、甚至客户的邮箱和联系方式,这些东西泄露出去的后果远比你花几百块钱做一次安全加固的成本大得多。
我现在跟客户说得最多的一句话就是,安全这个东西就像保险,你交保费的时候觉得心疼,等真出事了你就知道有多值。网站被人篡改你丢的是脸,数据被人偷走你丢的是客户,服务器被人当矿机你丢的是钱。区别只是丢多丢少而已。
所以在长沙做生意的各位老板们,看完这篇文章今天回去做的第一件事,登录一下你网站的后台,把密码改复杂一点,真的就这一步就够了。你要是连后台地址和密码都不记得了,那你可能需要给我打个电话了。