近期WEB主題公園售后技術(shù)組收到了十多起網(wǎng)站被攻擊、掛馬的求助，這些現(xiàn)象顯示，今年一開(kāi)年，網(wǎng)絡(luò)安全形勢(shì)不可低估，也請(qǐng)大家務(wù)必做好網(wǎng)站的各項(xiàng)防御以及備份工作，以免造成不必要的損失。

在幫助這些用戶進(jìn)行修復(fù)和防御之后，下面我們歸納了近期收到的網(wǎng)絡(luò)攻擊的特點(diǎn)，以及對(duì)應(yīng)解決的方式。

1.掛馬方式1，利用.htaccess（分布式配置文件）進(jìn)行轉(zhuǎn)向木馬，者常見(jiàn)于Unix或Linux系統(tǒng)，或者Apache環(huán)境的服務(wù)器

我們?cè)跈z查網(wǎng)站時(shí)，電腦端檢查完成之后，務(wù)必使用手機(jī)進(jìn)行測(cè)試，看看是否會(huì)進(jìn)行跳轉(zhuǎn)，有的木馬設(shè)定電腦端不跳轉(zhuǎn)，而手機(jī)端跳轉(zhuǎn)，這樣如果你不使用手機(jī)進(jìn)行測(cè)試，那么可能這個(gè)木馬就無(wú)法被發(fā)現(xiàn)了。

發(fā)現(xiàn)跳轉(zhuǎn)的現(xiàn)象之后，從你的網(wǎng)站服務(wù)器下載根目錄的.htaccess，使用代碼編輯器或者txt打開(kāi)，一般來(lái)說(shuō)，正常的.htaccess文件不會(huì)包含任何站點(diǎn)意外的url，你可以查找跳轉(zhuǎn)的網(wǎng)址url來(lái)判斷是否是.htaccess被污染而造成的掛馬。

當(dāng)發(fā)現(xiàn).htaccess被污染時(shí)，刪除文件并替換掉之前所備份的文件即可。一般來(lái)說(shuō)，wordpress的偽靜態(tài)設(shè)置在.htaccess文件中如下：

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

# END WordPress

我們?cè)趲椭脩魴z測(cè)木馬時(shí)，最常見(jiàn)的木馬植入方式就是.htaccess被污染造成的，因此，如果你的網(wǎng)站開(kāi)始跳轉(zhuǎn)到其他網(wǎng)站上，你第一個(gè)需要檢查的就是.htaccess文件。

2.掛馬方式2：文件污染，以及文件增加出現(xiàn)的木馬

第一種方式：現(xiàn)有文件污染：是在能夠影響到前端輸出的文件中，植入若干代碼，造成跳轉(zhuǎn)，就wordpress而言，最常見(jiàn)的文件如下參考：

根目錄下：index.php、wp-blog-header.php、wp-load.php最容易受到污染。這些根目錄文件可以通過(guò)刪除之后替換解決好。

主題目錄下：header.php、footer.php、index.php、functions.php最容易受到污染，通過(guò)升級(jí)主題（可在后臺(tái) --外觀--編輯中，將版本號(hào)Version:后面的數(shù)字）修改為低版本如1.0，觸發(fā)更新，更新主題即可，也可以手動(dòng)覆蓋這些文件，或者覆蓋整個(gè)主題。

第二種方式，增加文件對(duì)網(wǎng)站進(jìn)行影響： 使用你的ftp查看網(wǎng)站目錄，對(duì)比根目錄、主題、插件目錄下，wordpress結(jié)構(gòu)是否多出了奇怪名稱的文件，或者很相似的文件，文件后綴比較奇怪的文件等等，只要和原始的安裝包不同，那么你就可以下載下來(lái)查看下這些文件是否存在木馬。這種木馬的清理，若逐個(gè)查看文件夾是非常累的，因此如果發(fā)現(xiàn)這種情況，建議除了你的網(wǎng)站附件文件夾（路徑：\wp-content\uploads）之外所有文件夾以及文件全部刪除，重新上傳新的wordpress安裝包和主題安裝包安裝。當(dāng)然在刪除之后uploads里面所有的文件夾也必須都查看一遍，查看是否有可疑文件存在。

總結(jié)，若文件遭到污染或者出現(xiàn)新增文件造成的木馬，一般來(lái)說(shuō)最快的方法是替換文件，但是如果新增文件覆蓋替換文件也無(wú)法解決問(wèn)題，只有全部刪除重新上傳才能徹底刪除干凈。

以上兩種掛馬方式的解決

1.設(shè)置文件夾權(quán)限：將除了附件文件夾（路徑：\wp-content\uploads）以外的所有文件及其子文件全部設(shè)為555只讀屬性，那么文件不可更改不可創(chuàng)建木馬時(shí)無(wú)法植入的。

2.如果是服務(wù)器，建議安裝相關(guān)防護(hù)軟件，如安全狗、云鎖、360主機(jī)衛(wèi)士等等.

3.如果是虛擬主機(jī)，建議你使用第三方防御工具，如360網(wǎng)站衛(wèi)士、百度加速等等具有一定防御效果的第三方工具。

3.cc攻擊、ddos攻擊以及syn攻擊

攻擊出現(xiàn)的特征，以及對(duì)應(yīng)辦法。

cc攻擊：如果網(wǎng)站遭受到了cc攻擊，你可以明顯感覺(jué)網(wǎng)站卡、慢，如果你的服務(wù)器有軟件監(jiān)控的話，你可以注意到，cup使用率和內(nèi)存使用率高的嚇人，當(dāng)cpu長(zhǎng)期100%負(fù)荷時(shí)，網(wǎng)站完全無(wú)法訪問(wèn)，并開(kāi)始宕機(jī)重啟。

cc攻擊發(fā)生時(shí)，可以啟用相關(guān)服務(wù)器的防御機(jī)制，比如每一個(gè)ip每 10 秒只允許請(qǐng)求20次，超過(guò)20次鎖定ip訪問(wèn)時(shí)間多少分鐘。

也可以設(shè)置網(wǎng)站每IP并發(fā)數(shù)，ip并發(fā)數(shù)是指一個(gè)ip下能夠允許多少用戶訪問(wèn)，若cc攻擊非常大 ，可以直接設(shè)為1，等待cc攻擊結(jié)束之后，再修改較大即可。

你同時(shí)也可以使用360網(wǎng)站衛(wèi)士，這個(gè)第三方防御對(duì)于cc攻擊的效果也算是比較明顯，只要啟用了之后，360的云節(jié)點(diǎn)會(huì)幫助你抵抗一部分的cc攻擊。

syn攻擊：如果網(wǎng)站遭受到syn攻擊，會(huì)發(fā)現(xiàn)網(wǎng)站網(wǎng)卡流量突然增高，長(zhǎng)期負(fù)荷在最高網(wǎng)卡速度，而正常用戶的訪問(wèn)量并沒(méi)有增加。

當(dāng)發(fā)生syn攻擊時(shí)，你可以首先將網(wǎng)站每IP并發(fā)數(shù)設(shè)為1，每個(gè)每連接線程速度設(shè)為20kb，這樣雖然會(huì)影響網(wǎng)站正常的訪問(wèn)速度，但是可以很明顯的讓網(wǎng)卡流量變低，從而抵制住攻擊。

同時(shí)若有專業(yè)的網(wǎng)管人員，可以參考這篇文章進(jìn)行防御：http://my.oschina.net/zhangxc73912/blog/512763?p=1

syn攻擊與ddos攻擊一樣，如果規(guī)模夠大，幾乎是沒(méi)有非常有效的防御機(jī)制可以防御住的，若發(fā)生較大規(guī)模的攻擊，可以使用相關(guān)網(wǎng)站安全防御商家提供的防御套餐，并求助于他們的技術(shù)支持。