问:此服务器上有两个网站,www.Smarttech3d.com.cn以及www.3dtalk.com.cn,这两个网站点开二级页面直接跳转到抽奖网站,服务器上所有网站都有问题
答:您好,
1、网页被挂马,需要您网站技术检查清理,同时查看您工单记录多次被挂马,建议您提交“站点设置-服务器/网站安全加固(适用于频繁被挂马出现非法信息)”帮您设置加固,铜牌服务收费800元,清理两个网站挂马需要收费200元。2、清理挂马并加固一起处理,可以为您优惠一共收取800元费用。 如确定处理,请充值费用后工单确认,非常感谢您长期对我司的支持!
问:我的两个网站是由不同公司负责设计的,现在都放在一个服务器上,同时被攻击,即使网站设计有漏洞,但我目前看来服务器也存在漏洞,这个问题如何处理
答:您好,帮您检查了系统没有异常进程和管理账户,并不是系统被黑,就是程序漏洞导致,并且您服务器上安装有云锁,设置过系统加固,非常感谢您长期对我司的支持!
问:如果我要换服务器能否彻底解决这个问题?我们有很多网站,目前只有在这个服务站点上的网站老出问题,老这么一趟一趟修补我们也承担不了,但目前看来我们其他网站并没有这么多问题,我想一次性解决,另外如果我这次交了这800元,是否就可以保证没有问题了?我只想跟其他网站一样,不想老出问题,也不要老修补,因为就这个站点有问题,实在让我无法相信是我的网站设计和技术问题。另外这次修补过后能否恢复到正常水平?就是攻击前的状态
答:您好,
1、这种挂马时针对网站,换服务器无法解决。2、我司只能帮您清理了木马,无法帮您修复程序上的漏洞,通过网站安全加固设置,可以较大程度降低再次被挂马的风险,但仍无法保证100%%u4E0D会再次被黑。3、查看/home/www/smart/public_html/下文件源码基本都被修改过,无法通过挂马清理恢复到之前水平,只能帮您挂载备份查看下能否恢复,或您那边重新上传wordpress的源码。另一站点可以恢复正常水平,非常感谢您长期对我司的支持!
问:那我想确认下,他为什么不选择我们公司其他网站攻击?偏偏选择挂在这同一个站点的两个网站攻击?
答:您好,这个不是黑客选择什么网站, 您的网站发布后在互联网中就会暴露,黑客要知道您网站的存在后才能实施入侵,这存在一定的概率,尤其是一些开源程序,像dedecms,discuz,wordpress等等都是站长使用率极高的开源程序,一旦有漏洞爆出,将有成千上网的网站存在被入侵的可能,当然,我们不是黑客,并不能全面了解黑客得知您网站的手段,非常感谢您长期对我司的支持!
问:我的问题是,1、我其他的网站不管使用的你说的dedecms,discuz,wordpress还是什么其他的程序,都没有被攻击,我这两个即使用了,怎么就被攻击了?我所有的网站都暴露在外面,而且我这两个网站是两家不同公司的,怎么黑客就这么巧的找到这同一个服务器上的两个网站了?2、我认为他即使是找网站也是通过服务器找的,你的服务器一定存在漏洞,不然不可能就这么正好这两个网站攻击。你的服务器没问题,我这两个八竿子打不着的网站就被攻击了,这逻辑你觉得说的通吗?3、钱我不怕花,我要花的明白,我要保证我们这个服务器上的这两个网站没有问题
答:您好,1.我司提供服务器是硬件,系统是centos开源系统,预装的环境是wdcp,属于第三方,这只是为了方便用户能快速建站, 我司也有提供纯净版系统,甚至您可以自己上传系统安装,云服务器是有提供自主安装操作系统功能的,如果您怀疑系统或者wdcp环境问题,那么您可以自己安装操作系统以及环境
2.我们根据经验,检查了系统内可能存在黑客特征的地方均无异常,排除服务器被黑 3.如果要证明是程序被黑了,可以通过访问日志排查 4.因为您没有开启每个站点日志,也没有设置切割日志,所以网站日志都在一个文件,目前帮您排查了wordpress程序应该是上传了phpmailer目录后被黑客在10月28日就通过PHPMailer/test/code.php文件入口入侵的,然后上传了一些文件到其他目录,但没有造成其他严重的破坏,之后有其他很多黑客通过扫描方式找到其他后门文件进行了更严重的破坏127.0.0.1 – – [28/Oct/2018:00:26:47 0800] \”POST /PHPMailer/test/code.php HTTP/1.0\” 200 36 \”http://smarttech3d.com.cn/PHPMailer/test/code.php\” \”Mozilla/5.0 (Windows NT 6.1; rv:54.0) Gecko/ Firefox/54.0\”,非常感谢您长期对我司的支持!
问:那我现在应该如何处理?交800元我这边连个网站就差不多恢复正常吗?
答:您好,我们查看您的wordpress已经严重被黑, 基本处于报废的状态,要从现有基础去清理干净所有后门文件已经不太现实,我们建议您把目录和数据库先备份一份,然后重新安装wordpress,数据库可以用原来备份的导入来恢复,建议是完全放弃现在的站点,全新安装;
另外一个thinkphp的理论上可以清理后门文件,还没有被大势破坏;如果要我司来清理该网站后门以及加固,收费700元;建议: 登陆wdcp为每个网站开启日志记录,平时自己注意监控管理日志,发现异常行为立即处理,最坏的情况也可以通过快照来恢复,不能像这次这样,10月份wordpress就被入侵了,12月才发现,已经没有备份可用了,非常感谢您长期对我司的支持!
问:我如何重新安装wordpress和做备份数据导入?这个是不是我们现在唯一的选择?还是说你建议的那个700元收费的那个方案比较适合我们?
问:我想知道我之前在服务器备份的所有网站的备份是否是可以正常使用的网站备份,而不是现在存在问题的网站备份。谢谢
答:您好,700元是负责处理您的另一个thinkphp的网站以及服务器安装云锁并设置防护加固,而wordpress基本已经报废,
根据您提供的备份,这个应该比较早期的备份,如果您后期没有做过内容的增减,则可以尝试用这个备份恢复,非常感谢您长期对我司的支持!
问:这个备份是哪个网站的备份,时间能看出来是什么时候的吗。我看不懂啊。大哥
答:您好,smart开头的文件就是您的wordpress的,截图上有时间显示的,是2016年7月18日(最近),非常感谢您长期对我司的支持!
问:那我现在需要恢复这个www.Smarttech3d.com.cn网站的话,是不是需要只有你们才能还原,我们无法操作?还是说备份的文件给到我们,我们自己还原。谢谢
答:您好,/home//web 这是您自己 通过wdcp后台备份生成的文件,这些文件一直存在,只是时间比较久远。您如果懂一点linux命令,完全是可以自己恢复的。还有一个比较笨的方法,https://www.west.cn/faq/list.asp?unid=637 参考这个教程用连接,然后将时间比较近的文件下载到本地,然后再上传到您的网站目录,但时间比较久,是否完整或者内容是否齐全就不能保证。如果我司收费帮您处理,可以免费帮您一并恢复这个站点,非常感谢您长期对我司的支持!
问:你好,到底是收费的还是免费的,一会收费一会免费
答:您好,收费处理thinkphp网站的问题,顺便免费帮您处理恢复wordpress程序。即收费处理的同时免费恢复wordpress数据,但不能保证数据的完整性,毕竟您的这个备份时间在很早之前,非常感谢您长期对我司的支持!
问:那既然这样,那你可以直接免费帮我们恢复www.Smarttech3d.com.cn的数据不就可以了吗?另外一个我们正在考虑是否在你们这重新购买新的虚拟主机
答:您好,恢复网站需要解压,检查配置文件,重新恢复附件目录,还要检测是否正常运行,这些也都是要花时间的。上面也已经给您提供了方案,您可以参考https://www.west.cn/faq/list.asp?unid=637用连接,单独下载到本地,然后再上传。如果我们单独只帮您恢复这个网站,收费100,非常感谢您长期对我司的支持!
问:行,那就100块,我提交哪一个工单?
答:您好,充值后回复工单,我司扣费为您处理 ,非常感谢您长期对我司的支持!
问:我这边已经充值,我需要帮我恢复,那么如果恢复之后,过一段时间又被攻击了怎么办 ,有需要花钱恢复?
答:您好,已经帮您恢复了,您原来的上传目录都有木马文件,现在的上传目录帮您做了拒绝脚本执行的设置。您的mysql是用连接的,帮您创建了普通账号连接,请您查看下现在是否有问题,注意您以前是phpmail导致被黑的,建议您现在删除这个插件,去官方安装,不要去网上下载,并注意更新版本,非常感谢您长期对我司的支持!
问:那这个插件你们这边不能一并删除和下载吗。
答:您好,您原来的备份文件就已经有很多后门文件,可能您自己当时也没太注意查看,目前只能尽量帮您清理了木马文件,放到了上层目录delbak下,建议您最好还是重做这个网站,非常感谢您长期对我司的支持!
问:我把3dtalk.com.cn的网站暂时关掉了,然后打开这个链接,如图显示,请问这是正常显示吗?
答:您好,这个是正常的,关闭后系统会改名站点配置文件,再次访问域名自然访问到了默认站点上,非常感谢您长期对我司的支持!