博客被疑似自动化黑客工具攻击

就在刚才收到了WordPress的Login Lock报警邮件,IP地址为118.192.35.178尝试登录博客后台失败多次,并且IP地址已经被阻止,所尝试的用户名为88888\’。

顿觉奇怪,心想不会谁无聊蛋疼到想去通过程序漏洞尝试黑WP吧,至少WP有这么多朋友使用,加上官方强有力的支持,安全性还是有保障的。于是尝试搜索这个IP地址,果然被我找到了一些痕迹,主要是一些留言和评论板,基本上都是用户名为88888内容为空,或者用户名和内容都是88888。到这里,我心里稍稍有了点底,至少可以判断是自动化程序自动攻击的,然后看到那么多网站的帖子都有88888的痕迹,再推断是不是自动发贴机在作怪,就像WP里屡禁不止的垃圾评论一样,但是想想奇怪的是我垃圾评论里没有收到该IP类似的帖子,看来不仅仅是这么简单。

登录服务器,使用下面的命令导出和该IP相关的Nginx访问日志。

cd /var/log/nginx
cat *.log | grep 118.192.35.178 > /tmp/attack.log
cd /tmp
more attack.log

继续阅读“博客被疑似自动化黑客工具攻击”

探测网站的挂马情况?

今天在例行检查网站日志时发现的一个奇怪的现象,IP地址为115.228.221.*的客户端于7月26日下午17:27相继访问了以下路径:

1
2
3
4
/vqugincstion.asp  - File does not exist Error
/incstion.asp      - File does not exist Error
/gjghcss.asp       - File does not exist Error
/css.asp           - File does not exist Error

我网站上根本不存在这些文件,那这位童鞋为什么要探测这些文件呢?经过网络搜索,我找到了一家经营网站漏洞修复、木马清理的网站,问题已经有些明朗了,基本排除是黑客通过搜索来寻找WebShell后门,因为即使找到也需要挂马者的密码,否则也无法使用,所以初步怀疑是这些经营安全修复的网站通过网友提交被黑网站,然后通过与这些被黑网站进行联系以获取他们的服务的一种行为,不过这样通过特定文件名来寻找网站被黑的证据是不是略显麻烦了点呢:-)