兩天前,迷糊博客被掛黑鏈,全站上下上千個(gè)文件都掛上了博彩類(lèi)網(wǎng)站的鏈接。萬(wàn)事有弊必有利,博客經(jīng)過(guò)這件事也讓我收獲了不少,一直以來(lái)我都覺(jué)得網(wǎng)站被入侵是件很神奇的事情,在此之前我倒是挺期待發(fā)生的。對(duì)網(wǎng)站的安全也不怎么上心,這次被掛黑鏈整整花了我兩天的時(shí)間去修復(fù),但是讓我實(shí)在不解的,迷糊每天的流量并不多,博客本身也沒(méi)有權(quán)重,而且掛上去的鏈接都是明鏈,難道對(duì)方?jīng)]看出來(lái)我的博客是每天一更新的嗎?這樣掛上去的鏈接會(huì)被立馬刪除,這樣又有什么意義呢?最后得出結(jié)論,對(duì)方應(yīng)該是“新手”,拿我博客“練手”呢!
都說(shuō)dedecms這套程序的漏洞極多,難道當(dāng)初放棄wordpress而選擇dedecms是錯(cuò)誤的?其實(shí)不然,網(wǎng)站程序安全因人而異,什么程序都有漏洞,再高的網(wǎng)站安全防御也還有更強(qiáng)大的入侵手法,或許dedecms程序漏洞是比較多,但是這次被黑主要是因?yàn)槲移綍r(shí)太懶,沒(méi)關(guān)心網(wǎng)站安全問(wèn)題,dedecms官網(wǎng)發(fā)布的補(bǔ)丁沒(méi)有及時(shí)更新,以至于兩個(gè)月前的補(bǔ)丁我到昨天才更新,粗略的查看了一下網(wǎng)站被黑的漏洞所在,如果沒(méi)錯(cuò)的話(huà)應(yīng)該是dedecms變量注入引發(fā)二次利用SQL注入漏洞 ,而這已經(jīng)是一個(gè)多月前dedecms官網(wǎng)就已經(jīng)發(fā)布過(guò)補(bǔ)丁了,一個(gè)多月以后網(wǎng)站才出問(wèn)題,這已經(jīng)是僥幸了。
塞翁失馬焉知非福,此次收獲頗豐
一,我成了真正意義上的站長(zhǎng)
都說(shuō)沒(méi)經(jīng)歷過(guò)網(wǎng)站降權(quán)和網(wǎng)站被黑的站長(zhǎng)不是真正的站長(zhǎng),我想前者我曾經(jīng)經(jīng)歷過(guò)了,再加上后者的發(fā)生,我順利升級(jí)為站長(zhǎng)一族(還有沒(méi)經(jīng)歷掛科的大學(xué)是不完整的,而我也實(shí)現(xiàn)了,嘻嘻!)
二,認(rèn)識(shí)到黑客不過(guò)如此
一直以為黑客多么恐怖,其實(shí)仔細(xì)想想對(duì)方不也是和我們一樣的人嘛,沒(méi)準(zhǔn)還是個(gè)帥小伙或者靚妹子,只是他們居然能做出這種傷害心靈的事情著實(shí)讓人不解,而這次事件也讓我能更加冷靜的處理網(wǎng)站突發(fā)事件,認(rèn)識(shí)到黑客并不可怕(這次只是被掛黑鏈,要是遇到掛馬或者刪除程序的話(huà),我肯定是應(yīng)對(duì)不了的),其實(shí)以后倒是可以淡定了,因?yàn)榇蠛诳?相對(duì)而言哈)根本防不住,能防住一般的黑客就夠了,因?yàn)樗麄児艟W(wǎng)站總是不需要理由,這點(diǎn)讓站長(zhǎng)很是蛋疼。
三,幫助養(yǎng)成備份網(wǎng)站習(xí)慣
說(shuō)實(shí)話(huà),我博客建立到現(xiàn)在只備份過(guò)一次,已經(jīng)是一個(gè)月前的事情,這次要是采取備份覆蓋的方式來(lái)修復(fù)網(wǎng)站,也就意味著我一個(gè)多月的努力白費(fèi),百度那邊也肯定會(huì)被“關(guān)禁閉”的,這次之后我自己做了一個(gè)網(wǎng)站備份計(jì)劃(包括數(shù)據(jù)庫(kù)),十天一次,到時(shí)候真的出了事,直接拿備份出來(lái)覆蓋還原,損失倒還不算大。
四,精簡(jiǎn)了網(wǎng)站內(nèi)容
有人說(shuō)最安全的網(wǎng)站就是在本地生成靜態(tài)文件然后上傳,空間上盡量少留動(dòng)態(tài)文件,這個(gè)方法可行但是沒(méi)必要去做,這樣感覺(jué)太“窩囊”了,凡事盡力就好嘛!在網(wǎng)上搜索了dedecms網(wǎng)站如何增強(qiáng)安全等級(jí),也看到了很多前輩的被黑經(jīng)歷,覺(jué)得這其實(shí)是站長(zhǎng)成長(zhǎng)道路上必經(jīng)之事,于此同時(shí),我將自己網(wǎng)站從內(nèi)到外都精簡(jiǎn)了一遍,能刪除的就盡量刪除,因?yàn)檎f(shuō)不定漏洞在哪個(gè)文件中,精簡(jiǎn)文件可以大大的降低網(wǎng)站安全事故發(fā)生的概率,因?yàn)橛械奈募m然站長(zhǎng)自己用不到,但確實(shí)黑客的最?lèi)?ài),也正是那些文件幫了黑客的大忙。
五,終于知道如何設(shè)置密碼了
說(shuō)到這不得不提那天告訴我博客被掛黑鏈的朋友,他在博客里給我留言提醒后還找到了我的QQ,當(dāng)他通過(guò)QQ告訴我網(wǎng)站被掛黑鏈一事我還是一頭霧水,因?yàn)槲規(guī)讉(gè)小時(shí)前更新的博文,那時(shí)候博客還是正常的,而當(dāng)我聽(tīng)完查看博客之時(shí),博客已經(jīng)內(nèi)外被掛不成人形。也是他告訴我網(wǎng)站密碼應(yīng)該要設(shè)置的足夠復(fù)雜,即使擋不住入侵,也能增加其難度,最后我選擇密碼由百度決定:密碼隨機(jī)生成器,并且自己也計(jì)劃半個(gè)月更換一次網(wǎng)站后臺(tái)登陸賬號(hào)和密碼。這里給大家推薦一款在線(xiàn)版隨機(jī)密碼生成器http://www.lgease.com/,如下圖,可以隨意生成密碼的組合類(lèi)型和長(zhǎng)度。
六,獲得的一篇好的博文素材
博客被黑,這事怎么都得寫(xiě)篇文章紀(jì)念一下,OK,你不需要再去額外找文章的素材了(其實(shí)迷糊博客每片文章都是認(rèn)真寫(xiě)的,只希望讀者能夠喜歡,每天去網(wǎng)上找 素材是我必備的工作,因?yàn)槲也幌癖R松松那樣的名博見(jiàn)識(shí)的多,但我知道見(jiàn)識(shí)是可以長(zhǎng)的,迷糊博客的文章也會(huì)越寫(xiě)越好,期待大家關(guān)注!),而且計(jì)劃將這篇文章投稿出去,倘若投稿成功,沒(méi)準(zhǔn)這篇文章能為我博客帶來(lái)不少的好處(讀者與外鏈)。
七,學(xué)會(huì)冷靜面對(duì)網(wǎng)站突發(fā)事件
這次我遇到這種事件,首先一喜,然后就是一驚,腦子一片空白,關(guān)鍵是這玩意沒(méi)見(jiàn)過(guò)啊!首先想到的是空間商,咨詢(xún)下他應(yīng)該如何處理,自認(rèn)為我的空間商還算可以,每次問(wèn)些問(wèn)題都會(huì)回答,不過(guò)一般沒(méi)啥事我也不會(huì)去煩他,這次情況不同了,問(wèn)完得到的意見(jiàn)是”刪除重裝”,嗯,我也覺(jué)得可行,或者是拿備份文件直接覆蓋,但是重裝的話(huà)一些插件和模板文件如何保證和原來(lái)一樣(感覺(jué)重裝后也很麻煩,所以還是嘗試修復(fù)),最后是手工刪除全部文件中的被掛鏈接,以及系統(tǒng)文件的修復(fù),到現(xiàn)在也不知道刪除干凈沒(méi)有哇!也是網(wǎng)上找的一大堆方法,照著做總會(huì)吧!感覺(jué)這事別人很難幫到自己,因?yàn)橹挥凶约喝プ霾盘?shí),雖然不知道效果怎樣。
八,學(xué)會(huì)使用網(wǎng)站安全工具
其實(shí)現(xiàn)在網(wǎng)上有很多免費(fèi)的網(wǎng)站安全檢測(cè)工具,比如這次我自己手動(dòng)修復(fù)之后還進(jìn)行了網(wǎng)站安全檢測(cè),這里我推薦”安全寶”和”360網(wǎng)站安全檢測(cè)”,前者也算是知名品牌了,后者更加讓人放心,因?yàn)檫@是奇虎360公司下的產(chǎn)品,而奇虎360做安全方面已經(jīng)是老手了,雖然360網(wǎng)站安全檢測(cè)推出并不久,但是通過(guò)對(duì)比,我還是發(fā)現(xiàn)360檢測(cè)網(wǎng)站更加方便,因?yàn)闄z測(cè)完后還給你推薦了幾套修復(fù)方案,都是依葫蘆畫(huà)瓢,很簡(jiǎn)單的?吹竭@里有的朋友或許會(huì)覺(jué)得這有什么用啊!但是我想說(shuō)的是,個(gè)人站長(zhǎng)最多也只能這么做,也該知足了,我也詢(xún)問(wèn)了安全寶提供的網(wǎng)站安全維護(hù)價(jià)格,2000元,不少了,目前對(duì)我來(lái)說(shuō)還承擔(dān)不起,個(gè)人站長(zhǎng)真心不容易,為什么他們還要為難我們?
九,小驚喜
經(jīng)歷這次的事件,我知道博客在我心中的份量,我一直用心的去寫(xiě)文章,雖然博客到現(xiàn)在才3個(gè)月,但這個(gè)博客我還是打算做幾年的。這次還讓我結(jié)識(shí)了一個(gè)朋友,正是他找到我的QQ并且第一時(shí)間告訴我博客的情況,并且給我提出寶貴意見(jiàn),而他現(xiàn)在已經(jīng)是某公司的網(wǎng)絡(luò)主管,因?yàn)樗救吮容^低調(diào),我這就不再透露他相關(guān)信息了。
寫(xiě)在最后:
綜上所述,是我經(jīng)歷這次博客被黑事件中收獲的,或許看到此,有人覺(jué)得我這是在自?shī)首詷?lè),安慰自己罷了。其實(shí)這篇文章主要的是告訴大家,任何事情并非只有一面,生活中遇到的事情亦是如此,而作為站長(zhǎng)我們需要更加淡定的去應(yīng)對(duì)接下來(lái)將要發(fā)生發(fā)生的一切,或許我們不能決定事件是否發(fā)生,但是我們可以決定應(yīng)對(duì)事件的態(tài)度,而這也是我們每個(gè)會(huì)生活的人都需要的。