一场惊心动魄的国际黑客入侵保卫战

          话说去年九月份教师节前夕，我基于国外开源程序woredpress搭建了感恩教师节网站和小程序，具体可参考我之前的博客《【实战】感恩教师节小程序制作》,为了实现投稿功能，当时我把网站开放注册了，注册成员角色设成了作者（可以上传文件，这这就为黑客在网站目录下上传webshell木马提供了条件),不过当时我linux服务器开着防火墙和安全组，对外端口开放的少，虽然黑客在我网站uploads目录下上传了不少webshell木马，但是半年来却苦于wordpress的ip验证机制和防火墙的限制没有权限执行，所以这些不计其数的国外黑客一直在盯着我的网站寻找漏洞以及我疏忽大意犯错，纵于这个机会在今年3月份中旬被黑客抓住了。

                                                            每天都在尝试注册入侵我网站的国外黑客

            到底我今年3月份疏忽大意犯了什么错误呢，这又得从我去年更换服务器迁移网站说起，具体可参考我之前的博客文章《利用阿里云自定义镜像实现服务器数据/网站快速迁移》, 迁移后到学生机后虽然省了一大笔服务器费用，但是我把新服务器的ip记错了导致ssh远程链接和ftp上传文件工具一直无法使用，却一直找不到原因，而且这一拖就拖到了今年3月份。今天3月份为了调试ssh和ftp链接，我粗心大意把防火墙给关闭了（而且忘了开启了，一关就是半个多月，防火墙就相当于管理一个大公寓所有房间的钥匙，这种做法相当于一个大公寓所有的房间门都开打了无人看守了半个多月，不招贼才怪呢），而且云盾提示我的wordpressIP验证漏洞我偷懒也一直没修复，然后我的服务器就被紧盯已久的黑客成功入侵了，大致入侵流程是这样的：在我关闭防火墙之际和wordpressIP验证漏洞未修复之际，成功创造畸形ip绕过了我网站和服务器的验证，成功获取了感恩教师节网站的上传的木马执行权限，而且黑客的攻击目标从来不限于攻陷一个网站，而是想通过一个网站进而入侵整个服务器获取所有的执行权限，然后就能控制个服务器傀儡肆意妄为，赚钱或者在互联网上违法犯罪；黑客的攻击手段也是非常高明，一旦攻陷一个网站，就在这个网站下的各个目录通过伪装植入成百上千个木马，然后通过执行不同功能的木马获取服务器相应的权限并成功入侵该服务器下的所有网站。入侵的我服务器的这个老外黑客并没有直接想把我服务器搞垮掉，而是在我的20多个网站页头都植入了广告，而且在我的博客发布了大量国外的足球运动服服装广告（这是从3月11日入侵开始到3月18日开始做的事情），然后3月18日阿里云云盾提示了我160多个网站木马，但是我没有开阿里云的安骑士企业版所以只能一个个手动删除木马，但是自己偷懒当天只删了10几个，想以后慢慢删。而我的做法可能被黑客洞察了并激怒了他，然后3月19月到3月20日就利用我的邮件服务器向世界各地用户发送带有恶意软件的垃圾邮件，然后3月20日下午我的ip就被国际反垃圾邮箱组织SBL给列入黑名单了，然后3月21日阿里云就把我的服务器锁定强制关停，如图所示

 然后我就按照阿里云工程师的要求给国际反垃圾邮箱组织SBl写了封邮件（这也是我第一次给老外写邮件），等了一个多小时没人回，又写了封邮件催了一下，如图所示

然后次日凌晨四点收到了回信，然后阿里云把我的服务器给解锁了，如图所示

阿里云发给个杀毒教程链接，不过我没看懂，而是采用了比较笨拙的wordpress删除重装的笨拙方法，整了一下午刚重装完还是不放心我又去wdpc查找黑客入侵痕迹并加固服务器安全（这次真的被黑客吓怕了），结果一不留神吧自己的服务器网卡当成黑客绑定的IP给删除了，然后整个服务器和所有网站都瘫痪了（就相当于手机没有流量处于飞行模式的状态），然后只能求助授权阿里云工程师帮忙修复了，如图所示

 

等了一晚上被我误删的网卡终于被阿里云工程师修复了，然后还是心理不安，又向阿里云工程求取了些服务器仿入侵经验，不过也没有看太懂，然后今天（3月22日）又折腾了一上午整个一个服务器云锁（就相当于看门的警犬，有任何的风吹草动就会提示），而且即使管理员操作ip不加入白名单的话，也会被视为网站攻击而阻止，这下服务器只有我授权的ip才可以操作的服务器和网站，终于算能防卫住自己的主机打赢这场黑客入侵保卫站了，终于能睡个安稳觉，如图所示

 下图第一条刚才俄罗斯黑客在尝试入侵的我的网站，已被实时拦截并加入黑名单

 

 下图为云锁在做云服务器安全检查

文章的最后总结一下服务器和网站防黑客入侵经验：

1、防火墙不要关，端口用到那个开那个，不用的要立即删除，对于一些重要特殊端口最好限制访问ip（设置为只有自己的网络IP访问最安全）

2、使用国外的开源程序不要轻易对外开放注册，因为国外的黑客数量庞大而且老外黑客很熟悉这些网站漏洞，所以很容易被注入木马

3、安装一些服务器安全监控软件，有钱的可以考虑安骑士等企业级安全防护查杀服务，没钱的可以考虑云锁（有点像windows上360软件）、安全狗等国内的在一定程度提供的免费云服务器安全防护服务。