我需要检查黑客是否在PHPMyAdmin中修改或更改了表或将列添加到MySQL数据库,或者他是否在服务器上更改了Wordpress文件,以便他可以继续黑客攻击我的网站以进行恶意目的。
我注意到自7月19日以来网站点击量下降了超过2/3,并且想知道发生了什么。这张照片显示我有1800次访问,但图表只显示http://tinypic.com/r/1zw0nxv/8的600次访问 我立刻觉得我的网站被黑了,有人偷了我的流量。 所以我说,"什么插件或主题"你安装在18上? 我已经在18日安装了一个购买的插件。
我注意到几天前未经我的许可安装了一个名为SQL Executioner的WP插件。知道我已经安装了 插件在18日或19日我认为SQL Executioner插件与它一起打包,或者安装它的代码放在我上传到WP管理仪表板的插件中。我没有SQL命令的经验但是 我已经阅读过Wordfence和其他网站,黑客可以使用您的网站发起攻击,将广告加载到他们的优惠中,或使用插件和主题窃取流量。 我认为SQL Executioner让黑客可以访问PHPMyAdmin中的MySQL数据库,这样他们就可以窃取我的流量。
我在https://github.com/justincwatt/wp-sql-executioner/blob/master/sql-executioner.php检查了SQL Executioner,您可以更改和修改表或添加列。
仅供参考:我删除了我在18日安装的插件,并在PHPMyAdmin MySQL中删除了所有3个表,在wp_options表中删除了2行。 我在MYSQL中找不到(明显的)SQL Executioner的行或表。
我的统计数据仍然很低,所以黑客仍然可以访问我的网站(即使我更改了登录后),因为他有数据库访问权限。 我希望有人帮我查看在18或19日修改,更改或添加到我的数据库中的表或列。 换句话说,我想知道在我的数据库上执行了什么命令,因为我从不执行命令,执行操作,触发器等。或者,如果黑客通过数据库黑客将恶意软件代码存储在服务器上的Wordpress文件中。
提前致谢
答案 0 :(得分:0)
首要的方法是在MYSQL端实现审计。现在,如果您是数据库专家,那么这可能是跟踪异常情况并定期运行常规审计报告的最简单方法。例如,如果列数增加,或者某些create table或alter table已经发布,则是一个良好的开端。也很高兴看到代码来自哪些模块。
在此类审核期间,您还可以运行并行会话信息以关联它所源自的应用程序,以确认应用程序服务器上的应用程序模块。
通过从前端运行查询到审计日志/历史记录表并生成所需结果,可以完成同样的操作。
如果您甚至过于偏执,您可以使用与您的表相关的选择查询实施审核,这些查询具有最安全的信息并查看这些查询的来源。如果这些查询来自的资源或位置不是您的应用程序服务器,则可以使用报告/查询来发送定期信息。然后你抓住了罪魁祸首。这些审计报告/查询可以是定期运行的预定作业,或者如果您更偏执,它们可以基于触发器运行: - )
注意:这是一种反应性解决方案。如果你的网络安全,sql代码和前端代码都是通过良好的安全标准完成的,那么你面对这种情况的机会就会减少。聘请专家为您的系统和数据库提供安全性的深入分析,并确保从所有不必要的端口,服务,通信等开始,都被阻止和保护,这是一件好事。因此,您可以处理很少或没有安全问题。