我的网站慢得像蜗牛,谷歌收录量跌了70%,广告收入砍半。技术团队查了半年,换了三家服务商,重装系统无数次,问题依旧。
直到上周,一个老黑客朋友喝了点酒,说:“你小子得罪谁了?被人挂了谷歌寄生虫。”
我懵了。谷歌还能有寄生虫?
他笑了,指着屏幕上一行代码:“这不是谷歌分析的代码,这是webshell。你家门口蹲着贼,你天天往里搬货。”
那一夜,我学会了什么叫真正的恐惧。
谷歌寄生虫,业内叫Google WebShell,不是谷歌出的,是黑客用谷歌域名和SSL证书伪装的后门。它藏在你服务器里,长得像谷歌分析脚本、谷歌字体API、谷歌验证代码。浏览器看到它,以为是亲爹,防火墙看到它,以为是访客。
它在你服务器里干什么?
第一件事,当二房东。你的CPU、内存、带宽被拿去挖矿,给黑客打工,你交电费。你的服务器跑得慢,不是配置低,是有人在上面开矿场。
第二件事,当情报贩子。它静默复制你的数据库、配置文件、源代码。你的用户数据、支付接口密钥、管理后台密码,全被打包送走。你还在做梦,别人已经拿着你的家底去暗网叫卖了。
第三件事,当特洛伊木马。它开放隐藏端口,给其他黑客开后门。你今天清了一个,明天进来十个。它不是一个人在战斗,它是一个据点的桥头堡。
第四件事,当搜索引擎劫匪。它识别搜索引擎爬虫,给正常内容,给真实用户跳转到赌博、色情、诈骗网站。你以为网站正常,其实早被搜索引擎拉黑了。谷歌收录量暴跌,就是因为谷歌检测到了恶意跳转。
怎么发现的?
我对比了服务器上的谷歌分析代码和官方给的代码。长得一样,但多了一个参数,路径多了个/ads/。黑客很聪明,把webshell藏在广告目录里,以为没人查。
老友说,这叫灯下黑。最信任的地方,就是最容易被利用的地方。
清理它,比想象中难。
不是删文件那么简单。它会在系统里埋定时任务,定期从远程下载新版本。你今天删了,明天自动长回来。会伪装成系统进程,名字和系统进程就差一个字母。会修改系统命令,你执行查杀命令,它给你看假结果。
彻底清除,只有一个动作:备份数据,重装系统。
备份要手动检查每个文件,不能用之前的备份,可能早就被感染了。重装要全盘格式化,重写分区表。系统装完,先改所有密码,再装防火墙,最后才恢复干净的数据。
做完这些,我问老友,能防吗?
他说,能,但累。
第一,别用网上找的一键安装包、破解主题、盗版插件。十个里面有八个带后门。你省那几百块,最后亏几万块。
第二,定期手动检查服务器文件。自动化查杀软件有用,但黑客也在研究绕过方法。最好的查杀工具,是你的眼睛。
第三,最小权限原则。每个服务用单独的用户,不给多余权限。即使被攻破一个点,损失能控制住。
第四,监控出站流量。webshell再隐蔽,也要把数据送出去。监控服务器主动发起的连接,发现异常IP,立刻封锁。
第五,双因素认证。所有后台、SSH、数据库,全部上双因素。密码泄露了,还有第二道锁。
清理完第三天,网站速度恢复正常。第五天,谷歌收录开始回升。今天,广告收入回到之前的八成。
老友说,你这算运气好。大多数人直到服务器被关停,都不知道自己养了多久的寄生虫。
我问他,黑客怎么进来的?
他翻了个日志,指着半年前的一条记录:一个过期的插件,漏洞爆出来第三天,就有人来打卡了。
那个插件我早就删了,但黑客留下的后门,一直活到现在。
关掉电脑前,我看了眼服务器上的谷歌分析代码。以前觉得它无害,现在看它,总觉得有人站在背后。
也许这就是互联网的真相:你永远不知道,信任的东西,什么时候会变成扎向你的刀。