青怡攻略：討論版

標題: 青怡網站好像被攻擊了 [打印本頁]

作者: chinsung 時間: 2019-7-27 20:48
標題: 青怡網站好像被攻擊了
小師弟剛要看一下資料都一直跳到超連結的H網站

作者: ddthoya 時間: 2019-7-27 21:02
我還以為是這邊有新的乾爹置入，竟然這麼熱血

作者: alexendra 時間: 2019-7-27 21:33
會不會是DNS被竄改了?

作者: 小鐵頭 時間: 2019-7-27 21:42
美德女王與黃金炸彈會歪掉

作者: colourdragon 時間: 2019-7-27 21:43
本帖最後由 colourdragon 於 2019-7-27 21:45 編輯

数据更新和咨询页面大量链接被改到69社区了...

希望趁这次机会能改到HTTPS模式

作者: chinsung 時間: 2019-7-27 22:24

好像越來越離譜了說

作者: 青怡 時間: 2019-7-28 00:42
外出旅遊就被駭

作者: 戰之夢 時間: 2019-7-28 00:50

青怡發表於 2019-7-28 00:42
外出旅遊就被駭

時間點過於巧合，你前腳出門就出事了。
以前有這樣過嗎?

作者: 青怡 時間: 2019-7-28 00:58

戰之夢發表於 2019-7-28 00:50
時間點過於巧合，你前腳出門就出事了。
以前有這樣過嗎?

有是有,但不多,而且我當時人在香港很好處理.
現在伺服器是GOOGLE的,
現在在國內酒店還在找方法登入

作者: 青怡 時間: 2019-7-28 03:30
我好崩潰…
為了老婆說要去兩天遊…
已經三十幾個小時沒睡覺…
人在外地，用著不是平常用的電腦，又沒辦法好好處理…
一直在改東改西…
煩死我了…

作者: second 時間: 2019-7-28 05:19
青大辛苦了!! 說個冷笑話給你解解悶,
有一天, 我的朋友看到一個絕世美女,
基於好東西要分享的好心態, 就對著我喊 :

阿正阿正, 正面的妹好正啊, 阿正~

作者: gonemail2004 時間: 2019-7-28 08:32
青大辛苦了,慢慢來,別心急...感謝您的付出

作者: 雲和月 時間: 2019-7-28 10:38

青怡發表於 2019-7-28 03:30
我好崩潰…
為了老婆說要去兩天遊…
已經三十幾個小時沒睡覺…

你下次上國內前私信我，我給你我用vpn。

作者: 雲和月 時間: 2019-7-28 10:39
我vpn是付年費的，上wifi連很穩定

作者: bruceee 時間: 2019-7-28 11:19
青大既然請假了就好好去陪陪家人吧～！

網站的事可以等回來再說…

雖然我昨天也想查渾沌之闇結果也是看到一堆長輩… 可是遊戲終究只是遊戲！不要讓遊戲影響了你陪伴老婆小孩的好機會～身邊愛你的人才是真實的唷！！

既然連到外站就順其自然的看一下吧哈哈哈～

作者: 吉川春袋子 時間: 2019-7-28 11:24

青怡發表於 2019-7-28 03:30
我好崩潰…
為了老婆說要去兩天遊…
已經三十幾個小時沒睡覺…

青大就好好休息去旅遊吧～～

作者: 青怡 時間: 2019-7-28 11:34

吉川春袋子發表於 2019-7-28 11:24
青大就好好休息去旅遊吧～～

唉...
根本不可能…
想關掉網站都沒辦法

作者: 青怡 時間: 2019-7-28 11:54
伺服器是租用GOOGLE的...
GOOGLE有個機制會封鎖網站…
萬一網站被封鎖了我就什麼都沒了…

就算不封鎖，回家肯定會有一大埋麻煩要處理…
唉…一直呆在酒店又不能回家…又做不了什麼…

作者: panda 時間: 2019-7-28 12:29
要注意休息啊，服务器还会封锁的吗，还有这机制，长知识了。网站回去再弄，好好陪家人重要说真的，不然玩得又不开心，网站现在弄也弄不好，毕竟在外边

作者: z@yy 時間: 2019-7-28 14:24
青大加油....不过还是好好的陪家人最重要...

作者: kcc12345 時間: 2019-7-28 14:28
青大辛苦，我都是用手機看論壇沒看到迷網，青怡加油

作者: Iori813 時間: 2019-7-28 14:32
為何我沒看到迷網？

作者: panda 時間: 2019-7-28 15:57
我用苹果自带浏览器就会看到

作者: 青怡 時間: 2019-7-28 19:33

panda 發表於 2019-7-28 12:29
要注意休息啊，服务器还会封锁的吗，还有这机制，长知识了。网站回去再弄，好好陪家人重要说真的，不然玩得 ...

因為我早前轉了用GOOGLE的伺服器~
他們有禁止散佈色情網站或是那些可疑網站~
所以如果網站有色情內容…就可能中止服務~
而且Google廣告也是很嚴…
我好幾年前被禁過一次…過了這麼多年才成功解封…
所以會很麻煩

作者: 青怡 時間: 2019-7-28 19:34
我已經趕回家…正在修復中…
結果這兩年什麼都沒玩過…吃了兩餐火鍋…申請了個銀行帳戶…
然後就又回來香港了…

作者: panda 時間: 2019-7-28 19:57

青怡發表於 2019-7-28 19:33
因為我早前轉了用GOOGLE的伺服器~
他們有禁止散佈色情網站或是那些可疑網站~
所以如果網站有色情內容…就 ...

原来如此，长知识了，感谢～也是辛苦了，注意身体啊

作者: 青怡 時間: 2019-7-28 20:25
真的好神奇…
我明明已經改了一個超長的密碼~
但就不知為什麼他們還能改~

作者: panda 時間: 2019-7-28 20:38

青怡發表於 2019-7-28 20:25
真的好神奇…
我明明已經改了一個超長的密碼~
但就不知為什麼他們還能改~ ...

看起来不像dns攻击呢

作者: 青怡 時間: 2019-7-28 20:40

panda 發表於 2019-7-28 20:38
看起来不像dns攻击呢

其實我不知道DNS攻擊是什麼XD...
我只知道他們一直在寫的後台改改改…

作者: panda 時間: 2019-7-28 20:40
难道不是账户权限的问题？

作者: panda 時間: 2019-7-28 20:41
改了密码还可以，那应该不是账号的问题吧

作者: isllire 時間: 2019-7-28 20:50
限制來源存取吧，常見的像phpMyadmin沒限制來源ip任意存取.或是討論區使用的版本存在漏洞，或是此用的程式存在sql injection,建議青大從網站伺服器的log去找原因。

作者: AlexT224 時間: 2019-7-28 20:50
是只有首頁被竄改還是論壇也被竄改阿~

論壇好像是套Discuz! 那首頁是自己寫的囉?

作者: 青怡 時間: 2019-7-28 20:52

AlexT224 發表於 2019-7-28 20:50
是只有首頁被竄改還是論壇也被竄改阿~

論壇好像是套Discuz! 那首頁是自己寫的囉? ...

論壇好像沒影響,
他只有改到我寫的後台資料~

他還在後台那邊發話說：
我已經拿到你的論壇帳戶資料了，話說，你還記我我嗎?

作者: 青怡 時間: 2019-7-28 21:05

isllire 發表於 2019-7-28 20:50
限制來源存取吧，常見的像phpMyadmin沒限制來源ip任意存取.或是討論區使用的版本存在漏洞，或是此用的程式 ...

是可以寫個功能限制IP~
我現在是比較好奇他是用什麼辦法破解的0.0...
明明進入我的後台需要帳號PW~

作者: panda 時間: 2019-7-28 21:12
如果进后台会留下ip的吧，把他的ip限制掉

作者: 青怡 時間: 2019-7-28 21:18

panda 發表於 2019-7-28 21:12
如果进后台会留下ip的吧，把他的ip限制掉

嗯,回家後就改了一下後台~
有記錄IP~有停到他幾個IP~
只是有點不理解他是怎麼辦到的~
好利害

回家後明明改了個幾十個位元的PW
他還是能進入我的帳號~

作者: AlexT224 時間: 2019-7-28 21:24
本帖最後由 AlexT224 於 2019-7-28 21:28 編輯

青怡發表於 2019-7-28 21:18
嗯,回家後就改了一下後台~
有記錄IP~有停到他幾個IP~
只是有點不理解他是怎麼辦到的~

駭客入侵後的第一步就是先下木馬再主機裡面

看看系統底層有沒有可疑的程序吧~
然後看一下有沒有可疑的port再 listen

作者: 青怡 時間: 2019-7-28 21:35

AlexT224 發表於 2019-7-28 21:24
駭客入侵後的第一步就是先下木馬再主機裡面

看看系統底層有沒有可疑的程序吧~

他們好像沒有再行動了…~

作者: isllire 時間: 2019-7-28 22:40

青怡發表於 2019-7-28 21:05
是可以寫個功能限制IP~
我現在是比較好奇他是用什麼辦法破解的0.0...
明明進入我的後台需要帳號PW~ ...

如果是從前臺的漏洞繞過去，不一定要透過後臺的，青怡大的後臺有ip登入紀錄嗎？所以確定是透過後臺登入成功？不過因為攻擊手法太多，還是要從網站apache log來看才比較可以知道原因。
帳密被破解的原因有許多，暴力破解（沒有加上失敗次數鎖ip）,或是在其他網路服務使用相同帳密（其他站臺被破解）………。

作者: idlegame 時間: 2019-7-28 23:27
青大就安心的玩幾天吧
就讓大逛幾天青樓吧

作者: panda 時間: 2019-7-29 00:11
啊哈哈，看来这兄弟想逛青楼啊

作者: 青怡 時間: 2019-7-29 01:24

isllire 發表於 2019-7-28 22:40
如果是從前臺的漏洞繞過去，不一定要透過後臺的，青怡大的後臺有ip登入紀錄嗎？所以確定是透過後臺登入成 ...

不知道原因
現在改成指定IP才能登入~
只是如果外出旅行的話會很麻煩…

作者: 翡翠石 時間: 2019-7-29 01:25

青怡發表於 2019-7-28 21:05
是可以寫個功能限制IP~
我現在是比較好奇他是用什麼辦法破解的0.0...
明明進入我的後台需要帳號PW~ ...

網頁用 http 在外面的wifi 登入會被側錄密碼，結果後台密碼和論壇密碼一樣?

作者: 青怡 時間: 2019-7-29 01:26

idlegame 發表於 2019-7-28 23:27
青大就安心的玩幾天吧
就讓大逛幾天青樓吧

還安心什麼…= ="...
我已經從國內趕回家了= ="...
只吃了兩餐火鍋…在酒店跟黑客玩了一整晚…
然後…就沒有然後了…

作者: 雲和月 時間: 2019-7-29 02:30
1.. 申請ssl cert，要htttps才能焦入，如何？另外，上網看看論壇版本，是否有新漏洞…

作者: 青怡 時間: 2019-7-29 02:52

雲和月發表於 2019-7-29 02:30
1.. 申請ssl cert，要htttps才能焦入，如何？另外，上網看看論壇版本，是否有新漏洞… ...

SSL 作用不明…感覺沒什麼用處…
論壇是沒問題啦,
因為他們根本動不到論壇~
我自己的後台已經改成指定IP才能改~
暫且應該告一段落了~
只是日後去旅遊比較麻煩…

作者: AlexT224 時間: 2019-7-29 08:13

青怡發表於 2019-7-29 02:52
SSL 作用不明…感覺沒什麼用處…
論壇是沒問題啦,
因為他們根本動不到論壇~

指定IP連線買台有VPN的路由器應該就搞定

https用來保障網站連線內容採用加密方式進行,保障帳號密碼跟連線內容不被封包擷取而洩漏,對使用者的保障比較高,變相會增加主機負擔,可以考慮只在bbs這塊網域先申請憑證試試看

申請SSL憑證可以用let's encrypt,打幾個指令就能完成囉~

動的ˊ到外部但是動不到論壇...會不會是檔案權限設777.....

作者: ogata 時間: 2019-7-29 08:50
SSL還是需要的
多一道鎖
多一個麻煩
但是多一點安全
雖然不可能百分百不被破

辛苦青大了
這麼恰巧
出遊還被迫搞鳥事
是不是哪裡得罪人被人惡搞

作者: isllire 時間: 2019-7-29 10:53

青怡發表於 2019-7-29 01:24
不知道原因
現在改成指定IP才能登入~
只是如果外出旅行的話會很麻煩…

通常這種情況只能考慮使用SSLVPN的方式，或是改成限制來源區域，例如旅遊的區域(減少攻擊範圍)

至於大家提到的SSL的部分，可以這麼理解，例如青怡大在外面登入後台，由於後台沒有採用SSL，那麼中間傳輸的資料是有機會被有心人竊取(由於沒有加密，帳號密碼當然就看光光)

大家也只能東拼西湊的提一些建議給青怡大參考，實際上還是要根據手邊的資源跟環境做出最適合的設定就是了

辛苦了。

作者: 青怡 時間: 2019-7-29 11:24

isllire 發表於 2019-7-29 10:53
通常這種情況只能考慮使用SSLVPN的方式，或是改成限制來源區域，例如旅遊的區域(減少攻擊範圍)

至於大家 ...

我自己說不上是技術達人…也不敢說絕對沒問題，
但是網站的帳號PW都有經過加密，我自己也拆解不到。
admin帳號是不同系統…所以反而沒加密XD…
之前我都隨便打1234…昨天才改成三十多個碼的PW…再加IP保護…

暫時應該先這樣…
之後會再留意看看~

作者: 青怡 時間: 2019-7-29 11:28

AlexT224 發表於 2019-7-29 08:13
指定IP連線買台有VPN的路由器應該就搞定

https用來保障網站連線內容採用加密方式進行,保障帳號密碼 ...

因為這週的經歷~
昨晚已經把VPN弄好了~

SSL其實網站是有的，
只是沒有預設走Https~

如果直接把所有連結的網址換成https，
因為網頁的攻略，都是走http的~
結果還是會出現不安全的警告，所以一直沒改…

像這個論壇，大家是可以用https://bbs.yeeapps.com 來連線的
但是圖片都怪怪的…

作者: isllire 時間: 2019-7-29 11:40
本帖最後由 isllire 於 2019-7-29 12:13 編輯

青怡發表於 2019-7-29 11:24
我自己說不上是技術達人…也不敢說絕對沒問題，
但是網站的帳號PW都有經過加密，我自己也拆解不到。
admin ...

青怡大，網站使用SSL是讓傳輸更安全，跟此次事件不一定有關就是了，每個資安事件的調查，還是會需要從LOG中才能知道真正的原因。

PS.我也不是技術達人，只是剛好從事的工作有關，略懂一些可以提出來跟大家一起討論，我覺得每經歷一次資安的事件，可以從中學習到更多，總之辛苦青怡大了。

作者: ogata 時間: 2019-7-29 12:01
本帖最後由 ogata 於 2019-7-29 12:03 編輯

青怡發表於 2019-7-29 11:28
因為這週的經歷~
昨晚已經把VPN弄好了~

這看起來單純是CSS沒載入
可能要看一下改成https 登入後
css 是不是也有透過https 載入
我剛重讀了HTTPS網頁
會有這樣的讀取錯誤
Mixed Content: The page at 'https://bbs.yeeapps.com/forum.php' was loaded over HTTPS, but requested an insecure stylesheet 'https://bbs.yeeapps.com/data/cache/style_1_forum_index.css?YsR'. This request has been blocked; the content must be served over HTTPS.
看起來CSS是透過HTTP載入
但是HTTPS不容許混合使用
要就全部都用HTTPS

作者: 青怡 時間: 2019-7-30 04:24

ogata 發表於 2019-7-29 12:01
這看起來單純是CSS沒載入
可能要看一下改成https 登入後
css 是不是也有透過https 載入

如果查LOG有發現一堆不明IP一直在嘗試連接一些不存在的網址(似乎都是針對Wordpress 網站的攻擊方法…)
應該怎麼辦~
我有把那些IP封了
但似乎治標不治本

作者: AlexT224 時間: 2019-7-30 08:28

青怡發表於 2019-7-30 04:24
如果查LOG有發現一堆不明IP一直在嘗試連接一些不存在的網址(似乎都是針對Wordpress 網站的攻擊方法…)
應 ...

當你在dns註冊網域,網頁開張的那一刻起,就已經成了駭客的目標囉,這躲不掉

在沒有外部設備 (ex. 網頁防火牆)的幫助下,除了對系統本身資安強化,防堵程式碼漏洞以外也沒有其他辦法

封ip封不完的,每天都有不同的ip在攻擊,iptables寫爆都拿他沒轍

作者: wakoo 時間: 2019-7-30 09:15
青大，我也是搞電腦那一塊的，主要攻擊是攻擊php, 很多漏洞，而且問題不在你密碼有多長，因為進入你服務器的是由另一途徑進入。你可以留意幾點：
1. 參數盡可能隱藏：
https://bbs.yeeapps.com/forum.php?mod=post&action=reply&fid=67&tid=25350&reppost=0&page=12&mobile=2
即是那些action, mod, 等主要參數

2. 連入ssh的只能用信任IP或只可由內聯網IP連入ssh,最好還是有另一台機連入去

3. 不要開ftp等服務器，超易被攻擊，而且一攻即中，用sftp或再用才開

4. 數據庫和服務路分開，數據庫只可以由服務器連入。

5. 最後當然要定時備份數據了。

這些都是基本的安全要求
有須要再討論吧

作者: yanjh1 時間: 2019-7-30 09:23
DiscuzX漏洞挺多的，真要小心。
建议先更新到最新版吧

作者: ogata 時間: 2019-7-30 09:54

青怡發表於 2019-7-30 04:24
如果查LOG有發現一堆不明IP一直在嘗試連接一些不存在的網址(似乎都是針對Wordpress 網站的攻擊方法…)
應 ...

大家可以交流一下
我也只是就我知道的提個意見

我也不是資安方面的專家
我只是寫程式有時候還是會有需要相關的東西

相信版上應該高手如雲的

關於封IP
還不如就是真的用白名單限制登入的IP吧
登入是麻煩可是總比被駭好

作者: 青怡 時間: 2019-7-30 11:10

ogata 發表於 2019-7-30 09:54
大家可以交流一下
我也只是就我知道的提個意見

那些嘗試攻擊的IP
都是直接連到yeeapps.com…
所以白名單沒意思…
看來只能逐個IP逐個封…

作者: 青怡 時間: 2019-7-30 11:37
我決定…把他們到達的網址…都改成廣告好了

歡迎光臨青怡攻略：討論版 (https://bbs.yeeapps.com/)