网站自动跳转到cjb.net的惊险之旅

网站自动跳转到cjb.net的惊险之旅

计算机技术 11个月前 (11-07) 浏览: 357 评论: 1

极客人昨天在访问王柏元的博客时发现,网站时不时地“抽风”地跳转向www.cjb.net这个网址,几乎刚一打开wangbaiyuan.cn就跳,访问其它的网址都没有遇到这等怪事。这种情况最开始只出现在360极速浏览器上,即使我下意识地清除缓存、cookie,依然没有奏效。最后我换了其它的浏览器,才发现就360极速浏览器才遇到这种情况,而且还是偶然出现的;在尝试网上的方法卸载浏览器插件等的方法解决未果的情况下我只得作罢。兴许360极速浏览器中毒了吧,呵呵,360还号称安全呢! 今天晚上,我发现自动跳转到cjb.net的恼火现象再次出现,而且这次不管什么浏览器都是如此,包括Edge、IE。这才让我觉得是不是网站被“入侵”了,而且”入侵“的方式很明显,植入了含有跳转代码的js。因为当我审查元素”禁用js“时跳转情况就不会出现。然后我看了看,王柏元的博客一个文章页就引用30个js,只要其中一个js文件植入了恶意跳转代码就会出现自动跳转,如此盲目地找谈何容易。 由于网址跳转得极为迅速,我相信这个js文件是在html的head 部分,最后发现我的头部引用一个新浪CDN的jquery.min.js,网址为: http://lib.sinaapp.com/js/jquery/1.7.2/jquery.min.js;这是我的wordpress主题提供的一个Jquery CDN源,当我把Jquery源由 CDN改成使用本地Jquery时,问题解决了,无疑是新浪的Jquery源被劫持了。打开这个js一看,难怪了: 而且lib.sinaapp.com域名下不管什么链接都是这个内容;最后发现网上推荐的Jquery CDN中,使用新浪的CDN还不少,估计这回中招的人应该不止我一个啊。最后我果断换成了百度的Jquery CDN:http://libs.baidu.com/jquery/1.9.1/jquery.min.js;当然,出现自动跳转到cjb.net的情况不一定和我是同一个原因,但是你可以按照我这个思路去找哪个js文件被污染了。    

遭受恶意扫描下载zip攻击的惊险之旅

遭受恶意扫描下载zip攻击的惊险之旅

算法语言 2年前 (2015-09-20) 浏览: 290 评论: 6

最近王柏元的博客颇不宁静,昨天已经是阿里云第三次发送主机资源超标耗用导致网站强行停机了: 我们抱歉地通知您,由于超标消耗系统资源,您在万网购买的虚拟主机免费版类型主机产品qxu10******3已关停。   极客人无奈一次又一次手动重新启动主机,而阿里云免费主机一个月只能三次手动重启站点,这令我 是十分困惑。由于极客人使用的是阿里云免费虚拟主机,其配置都受到严格的限制,更自然不及一些独立的服务器,但是对小规模的博客网站还是绰绰有余的,而由于资源耗用过度这两个月才 出现的问题。而且这两个月我的网站访问量并没有比前几个月多出多少,而且还关闭了一些如百度云观测、神马搜索等机器人的访问,应该不存在访问量过多导致主机停机。所以资源超标耗用的问题着实 让我不解。 一、分析网站日志 网站日志是访问者访问网站时,网站自动记录访问时间、访问者IP、UA、HTTP请求类型、请求网址、来源网址以及返回的状态码。 通过阿里云给我发送的通知邮件中的日期时间, 我找到了三次主机停机最后时刻的相关网站日志。除了第一次停机时的网站日志没有异常外,第二次和第三次停机时的情况竟然“神奇”般地雷同。 2015年9月19日14:10左右的网站日志 2015年9月17日18:10左右的网站日志 通过网站日志可以找到一下规律: 请求方式为HTTP head; 请求极其密集(9月17号在一分半内请求523次;9月19号在一分钟内请求424次) 主机崩溃最后一刻返回状态码:500(服务器内部错误) 请求文件类型为zip压缩文件,为www,web,wwwrroot等看似没有规律的文件名 二、我的分析结论 HEAD为http中像GET、POST一样的请求方式,与GET不同的是:客户端向服务器发送HEAD请求。服务器只会返回页面的head头部部分,这就比请求页面主体部分快得多。 上面网站日志记录的IP显然是通过HEAD扫描我的网站根目录中可能的zip文件,通过HTTP状态码,攻击者就可以知道它随机扫描的zip文件是否存在,如果存在的话就进行下载。当然,日志中清一色的404(请求的资源不存在)说明攻击者并没有得逞:获取我网站上“他想要”的zip压缩文件。这让我虚惊一场,然后,密集的请求却导致了我主机耗用资源超标。 可能你认为即使下载几个zip文件并无大碍,但是可以发现攻击者想要下载的zip文件名看似随机其实大有文章。 web、wwwroot、www是网站根目录常见用名,包括极客人在内的广大站长可能经常会将自己网站上的文件进行定期备份:全选然后压缩。就像在 计算机上压缩几个文件夹或文件一样,创建的压缩文件名往往和根目录相同。所以攻击者恶意遍历可能的 根目录名.zip,然后试图下载你的网站备份文件。而以wordpress建站系统为例,你的备份文件中的某些文件(wp-config.php)就记录了你的FTP和数据库密码,可以说,知道了FTP和数据库密码,你的网站意味着全线沦陷。 三、采取防治措施 1、禁止请求zip等压缩文件 由于虚拟主机的权限有限,我们控制用户访问行为最高效的就是在htaccess添加相关规则了,禁止请求zip等压缩文件的规则如下,请在: 上述规则会禁止请求zip\rar\gz格式的压缩文件。 2、处理head请求 head请求在http请求中并不常用,我们完全可以禁止这种请求方式: 上述规则会导致不管head方式请请求什么,都会重写到百度首页,要下载就去下载百度首页吧!    

用.htpasswd设置网站目录、文件访问密码

用.htpasswd设置网站目录、文件访问密码

计算机技术 2年前 (2015-06-16) 浏览: 184 评论: 0

不知道什么原因,王柏元的博客近两天频遭恶意登录攻击,大概一天晚上极客人收到了系统发送的登录错误提醒邮件高达100封,这让极客人十分苦恼。为此极客人想到了利用htaccess+.htpasswd设置网站目录、文件访问密码的方式保护网站登录相关的关键文件和目录,这样恶意登录就不会如此猖獗,这为网站安全加了双保险。对于更多的网站安全保护方法,请参考强化WordPress网站安全的 12 个方法,当然这些方法不仅仅针对wordpress。 保护目录 在要设置密码访问的目录下新建htaccess文件,加入语句: 注意AuthUserFile 后面是.htpasswd文件的路径,这个路径是主机商给你的绝对路径,不是带你的域名的路径。在.htpasswd文件中记录了用户名和密码,不过这些用户名和密码都是加密过的非明文密码。 密码存放的格式是: 用户名:密码 怎样生成htpasswd密码请访问:http://tool.oschina.net/htpasswd 将生成结果复制后保存在一个命名为“.htpasswd”的文件中,放在网站根目录。注意AuthUserFile 后面就是这个.htpasswd文件的路径。 密码保护网站文件 正如你所见方法和保护目录类似。 至于设置限制IP访问指定文件你可以参考强化WordPress网站安全的 12 个方法。 效果预览

被.ytlqpo.com恶意镜像的解决、反制措施

被.ytlqpo.com恶意镜像的解决、反制措施

技术应用 计算机技术 2年前 (2015-05-19) 浏览: 981 评论: 19

前天在百度搜索王柏元的博客网站关键词时,猛地在百度结果的第一页中发现了一个标题、简介和我完全一样的网站,不看不知道,这个网站还不是传统意义上的抄袭、盗链,不仅仅把我的网站全部照搬,而且把网页里所有的链接都置换成那个镜像网站地址的。 我这才知道:我的网站被人家恶意镜像了。 和一般的镜像不太一样,这个镜像网站不仅仅是针对我一个网站,而是自动镜像。主要表现为: ①我的网址:http://wangbaiyuan.cn;镜像网址就是:wangbaiyuan.ytlqpo.com。另外一个网站网址:http://weixin.wangbaiyuan.cn,镜像网址就是weixinwangbaiyuan.ytlqpo.com经过本人测试:把你的网站网址去掉主机记录和顶级域名,加上.ytlqpo.com,就知道你自己有没有被镜像! ②为镜像网站里所有链接添加镜像,比如我的网站里有个友情链接:http://www.zhiyanblog.com,这个友情链接就会置换成:zhiyanblog.ytlqpo.com. 一、经过本人测试中招的大网站有: 360. ytlqpo.com 镜像360网站 sogou. ytlqpo.com 镜像搜狗搜索 qq. ytlqpo.com 镜像qq官网 net. ytlqpo.com 镜像万网官网 haosou. ytlqpo.com 镜像好搜网站 不过恭喜百度搜索主页神奇地幸免了 二、测试的站长朋友网站被镜像的有: zhiyan blog.ytl qpo.com 镜像http://www.zhiyanblog.com nai ba.ytlqpo.com 镜像naiba.im wangb aiyuan .ytlqpo.com 镜像http://wangbaiyuan.cn 三、恶意镜像很危险 恶意镜像由于照搬了源站的所有内容,如果你的网站权重不够高就苦逼了,百度如果分不清哪个源站,难保把你当抄袭,如果你的权重干不过人家的话。不管你的权重高不高,被恶意镜像的网站无疑会削弱你的权重,因为百度蜘蛛发现了大量和你网站一模一样的内容。虽然网上有很多恶意镜像的解决办法,但是我感觉我这次遇到的情况和网上的都不太一样,使用网上许多方法都不奏效。 四、解决与反制措施 在尝试多种方法无效后,我想到了一个权宜之计:禁止恶意镜像网站的访问IP,之所以说是权宜之计,因为难保它的IP会变,还有这个IP不是镜像网址的解析IP 因为多次尝试解决问题过程中,我发现这个恶意镜像的网站的原理大概是:别人访问abc.ytlqpo.com 的时候,它会访问一下(www)abc.com(cn\net\cc\xyz\wang),然后把访问的结果修改一下链接返回给你。所以,它必须有一个访问源站的过程。于是乎解决方案就是禁止这个访问IP. 在搜寻海量的网站日志没有确认这个IP后,我写了一个PHP文件来截获这个访问IP。 1.截获IP 将上述文件命名为“ip.php”放在网站根目录,然后我通过镜像网站网址访问wangbaiyuan.ytlqpo.com/ip.php,然后在上述PHP程序生成的ip.txt中获取了这个IP: 104.194.16.230 (美国) 2.屏蔽IP 在htaccess中添加下述代码: 对于htaccess屏蔽IP的方法,我的之前一篇文章有详细介绍:htaccess屏蔽ip访问。 当你再次用镜像网址访问你的网站的时候就会报403错误了,现在百度即使收录了这个网址对你的网站也不会产生任何影响. 3.反制措施 为了给这个镜像网站小小的“反击”,我决定把这个403错误页面设置为其他网站网址,实现方法是在屏蔽IP的htaccess代码中添加: 这样你访问你的镜像网址时,会发现它镜像的是其实百度新闻。(不知道百度蜘蛛发现一个网站在完全抄袭自己家的东西会是什么感觉) 演示效果: wangb aiyuan .ytlqpo.com(为了不给这个网址做传递权重和宣传,防止产生链接效果,请自行复制此链接去掉空格在浏览器中打开) 当然你写可以根据个人需求让你的镜像网址转向镜像其他的网站,比如: 借助它Fanqiang!

强化WordPress网站安全的 12 个方法

强化WordPress网站安全的 12 个方法

计算机技术 2年前 (2015-05-09) 浏览: 1003 评论: 0

这篇文章主要是利用.htaccess去对网站做设定、限制目录读取,强化WordPress网站整体安全,不过你也别忘了要设定强一点的密码。 接下来极客人要介绍的主要是透过.htaccess对网站做一个基础的强化,保护wp-admin目录、限制wp-includes目录读取、防垃圾留言、禁止目录索引、限制wp-config.php访问权限等等,算是很基础的网站安全防护,不论你网站是否遭受攻击,其实这些都是必要性的安全防护。当然,进行了下面的网站安全防护不代表你被不会被黑客入侵,而是多一层保障、降低一些被攻击几率。   一、限制wp-admin目录IP 如果你管理wordpress网站一般就只有那么几个IP,而且你对自己的网站安全十分看重,比如你运行一个关系重大的团队网站,同时常常受到黑客的光顾,而且团队运行的登陆者常常使用的几个固定IP,为了保证网站的安全,下面这个方法可以限制读取wp-admin目录的IP或者IP网段,不是指定的IP(或者IP网段)就无法访问后台,这个方法当然不仅仅针对wordpress网站。 用NotePad++新增一个.htaccess文件,在htaccess文件中添加下述代码,并将文件上传到“wp-admin”目录下。 其中的蓝色部分请换成你的IP,这段语法的判断流程简言之就是先封锁有所IP,然后开放允许的IP,所以将“allow from 12.34.56.78”的12.34.56.78改成你的IP。如果是一个网段,可以输入“ 12.34.56.”   二、限制存取wp-includes目录 “wp-includes”这个目录是系统的一些核心目录,还有”/wp-admin/wp-includes”和,”/wp-includes”在我们的网站页面上并没有哪个页面有URL会指向这些地方(通常这个目录里的文件只能被被管理者修改或者代码里调用的)。用以下这段语法可以限制存取的权限,请将下面的代码加入到根目录的.htaccess文件中。 此为官方建议设定。   如果没有加入以上语法,会显示错误讯息;如果加了以上语法,会显示WordPress的默认404页面:告诉你目录不存在,这样是一个比较安全的防护措施。 三、限制wp-login.php登入IP 如果你网站没有开放注册,那你可以执行这项的方法,限制允许访问wp-login.php只有网站的管理者,设定方法和前面的限制wp-admin存取IP方法类似,请将“12.34.56.78”改成你允许的IP或是网段。   四、限制上传大小 避免黑客透过Dos攻击,利用传输大文件来冲爆你的流量,所以可以透过限制单档大小来阻绝这样的一个状况发生,将以下语法加入到根目录的.htaccess文件中即可,极客人的预设是10MB。   五、保护wp-config.php配置文件 用过WordPress都知道”wp-config.php”这个文件攸关整个系统的运行,少了它或者配置错误连不上数据库,因为这个文件内保存了MySQL的账号与密码,为了保护这个文件,WordPress官方有个建议,就是先将此文件权限设定为”400”,也就是只允许拥有人权读取。不过设400可能会让一些插件例如wp super cache要写入设定值时发生错误,所以请大家斟酌裁定。 不过保护wp-config.php重头戏是设定.htaccess目录,修改根目录的.htaccess目录,加入以下语法,这语法意思是:禁止所有人浏览(主机内的程序是可以正常读取的)。 此为官方建议的设置方法:   六、防垃圾留言攻击 以下这段语法是保护你的留言防止被机器人垃圾留言攻击,主要屏蔽没有referrer的请求,但极客人使用过后发现成效有限,建议再加装Akismet和quiz保护会更好。请将下述代码加入到根目录的.htaccess文件,其中的”wangbaiyuan.cn”请换成你自己的网站网址。   七、禁止目录索引 如果你的虚拟主机没有开启禁止目录索引功能,请您务必加上此语法以保护没有index目录的目录,避免被恶意人士将网站内容全部下载。   八、变更数据表前缀 数据表前缀词其实在一开始安装的时候就务必做一个修正的动作,避免使用预设wp的名称,修改请务必小心,否则可能造成网站错误,做任何调整前务必先行备份。 九、合理设置目录权限 网站内该设定的权限务必根据需求调整好,例如wp-config.php就不建议设定为777。  十、账号安全 WordPress系统默认安装是采用admin账号,不过后来的版本允许使用者自行选择网站管理员账号,以避免恶意用户想要尝试admin登入网站。如果你本身已经使用admin,请赶快换账号吧!不然黑客轻易的就可以猜到你账号,接下来猜出密码应该很快了。另外建议使用Limit Login Attempts强化登入安全,当然您也要设一个不易猜出的密码。 十一、关闭后台主题编辑功能 WordPress后台的主题一旦权限开放就可以在后台直接编辑,如果没有开放则只可浏览。主机若有安装suPHP默认就是可以编辑。如果你觉得这项功能用不到,建议您可以关闭它,毕竟直接暴露在后台可以编辑是一件很危险的事情,除了可能因为黑客入侵乱改,也可能自己改错造成网站出错。请将以下语法加入倒wp-config.php适当位置,就可以关闭修改的权限了。   十二、限制 .htaccess 访问权限 当以上的东西调整完之后,别忘了强化你的.htaccess目录本身权限。将以下语法加入到.htaccess目录内已启用自我保护。语法是禁止所有人直接浏览该目录,但是系统使用读取是允许的。   最后各位还是要做好个人的账号密码保护,另外也别在不明的网络、计算机乱登入网站,这都可能造成帐密外泄,除此之外,再次提醒,使用以上方法只会加强WordPress安全,但无法保证百毒不侵,仍有机会遭受到黑客入侵,通常状况可能是您帐密外泄、网站插件、主题有漏洞、系统有不明的漏洞,还有目录权限设定不正确等等的状况,各位还是要多多注意。

网站屏蔽垃圾评论和恶意访问、采集

网站屏蔽垃圾评论和恶意访问、采集

软件开发 2年前 (2015-05-06) 浏览: 608 评论: 0

对于站长来说,垃圾评论都是一件比较苦恼的事,垃圾评论常常夹杂各种广告内容,而且过多的垃圾评论还会加大服务器的负担.垃圾评论的发起者往往是网络机器人,因为没有哪个正常人费时费力跑到你的网站自己受到敲字发广告等垃圾评论.最近极客人也自己结合了网站的代码,自己做了一个网络机器人,实现了短时间内打开下载几十个页面并且采集下载页面中的图片——当然是拿自己的网站做试验. 这篇文章主要分两部分,一是屏蔽网络机器人发垃圾评论;二是防止恶意访问刷新、采集图片耗费服务器资源和流量。 一、网站屏蔽机器人垃圾评论(利用PHP) 本篇文章屏蔽机器人的思路是屏蔽掉一些UA信息为空及其它典型是机器人UA(USER_AGENT,以下简称为UA)的访问用户。实现原理是通过php代码识别来访用户的UA信息,和典型的机器人UA信息进行比对,比对确认是机器人访问后禁止该用户访问。至于怎么查看UA,大家可以分析一下自己的网站日志。为此极客人综合网上的代码写了下面的代码。 为了在机器人访问网页第一时间就实行封禁,对于wordpress主题网站,建议将下面的代码添加到wordpress主题文件夹下header.php文件内容的最前面。极客人在此更建议的方式是:将下面的函数和执行代码书写在单独的一个PHP文件中,然后再在header.php文件中进行调用(因为header中代码太杂以后不好看); 此代码对任何支持PHP语言网站程序都有效, 屏蔽空UA的antiEmptyUA()函数代码: 函数调用 antiEmptyUA(); 二、防止访问者或机器人恶意频繁刷新、大流量访问 如果说发广告垃圾评论的人是损人利己,那么利用网络机器人进行频繁刷新、大量流量攻击的人就是损人不利己了。当然极客人觉得“存在即合理”,人家主动对一个网站发动攻击,或许是哪里得罪了人家,想通过搞瘫你的网站来小小惩罚你一下。比如,我最近就很想(不过没实施,想想还是算啦)对前几天转载我的文章不加版权,还说自己是写的人进行一下网站攻击。所以,在你专心研究怎么防止别人恶意访问的同时,极客人在此提醒你以后转载别人的文章真的还是加一下版权,尊重作者的劳动成果。 下面是本站的效果截图: 下述代码和上面的代码一样,建议加在header.php最前面或者其他网站程序最先执行代码的最前面 防止频繁访问的anticc()函数代码: 函数调用方法: anticc(2);根据你的需求修改时间值“2” 以上代码中function anticc($time_sep)的“$time_sep”是控制$time_sep秒中内允许用户访问一次,比如$time_sep=3时,如果用户在3秒内访问超过一次,系统则会提示“警告:请求过于频繁”,并且只有等待三秒后才能访问本网站。具体效果你可以在王柏元的博客,狂按F5刷新,体验一下。 三、利用htaccess屏蔽机器人垃圾评论(推荐) 这个方法还是屏蔽空UA的机器人,但是效率会比PHP高很多,这里是屏蔽机器人直接通过wp-comments-post.php发垃圾评论。 四、禁止垃圾评论IP 直接将垃圾评论的IP加入黑名单,该IP访问时直接“403无权限访问”,还可以节约虚拟主机的流量。(但是一般垃圾评论的IP经常会变!) 由于文字较多,请参看我的一篇独立博文:虚拟主机怎样屏蔽指定IP或网段做详细了解,在此不赘述。 五、终极方法 验证码,安装验证码插件。这个方法比上面的都有效,但是要安装插件。原理不解释。

虚拟主机怎样屏蔽指定IP或网段

虚拟主机怎样屏蔽指定IP或网段

百元百科 3年前 (2015-03-26) 浏览: 1019 评论: 3

自王柏元的博客开通以来,笔者就不止一次地受到恶意注册、机器人发广告评论的骚扰。昨天收到一个广告评论,发现评论用户填写的网站IP和用户IP相同的,无疑,这说明这是网络机器人刷的评论。于是我就有一个想法,直接屏蔽掉这个IP访问我的博客。下面介绍我的解决方法。 虚拟主机怎样屏蔽指定IP或网段 一般,虚拟主机商都没有在主机管理里提供屏蔽IP访问的功能,当然,如果有你就方便很多。其实,即使虚拟主机商没有提供屏蔽指定IP访问的功能,我们也可以很简单地实现它。 方法很简单:在htaccess文件中加入屏蔽IP的字段。(htaccess文件的写法与作用在我前面的一篇文章有相当详细的讲解,如果你对防盗链、301重定向、自定义错误页面等有浓厚的研究兴趣,不妨看看这篇文章:21 个非常有用的 .htaccess 提示和技巧。 禁止指定用户IP访问 如果要屏蔽某一特定IP可以使用: 如果想要屏蔽多个IP地址,只需多加几个deny from 即可 如果需要屏蔽整个IP段,可以使用 如果只想屏蔽IP网段段中的一部分IP,则 仅允许指定IP访问 方法很简单,把上面的 deny from 换成 allow from、deny from 换成 allow from 即可,比如: 允许IP段10.16.0.100至10.16.0.200的用户访问,其他IP一律无法访问。 定制403错误页面 在限制访问的IP在访问网站的时候会响应403错误,但有时禁止的IP可能误判,你可以定制自己的403错误页面,提示访问者没有访问权限或者IP被屏蔽,并可以在网页中提供申诉途径。 如图:   实现方法: 在htaccess中添加下述代码: error/403.html根据实际情况填写路径,地址指向自己写的403页面。  

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册