首先要跟大家说一声对不起.
在2026年1月5日到2026年3月20日之间的某一天. 我的网站被攻击了, 而我浑然不知. 直至现在我也不知道 “黑客” 是用了什么方法–先假定他用的是最笨的把我的密码猜出来了的方法吧–换言之, 我不知道在我还原备份+改了密码之后, 攻击手段有没有失效.
下面展示一下被劫持时的状况:
如图所示, 访问我的网站后, 会出现一个假冒的人机验证.
(甚至我本人都没看出来这是钓鱼的, 我还以为WordPress更新后内置了这个功能)
点击假冒的人机验证后, 会弹出让你按指令进行 windows 操作的提示.
(当然如果你真的按他说的操作的话, 你的电脑就会中病毒)
让你中病毒的原理并不复杂, 这个窗口会给你的剪贴板写入一行代码, 如果你按他所说的用 win+R 执行了复制的代码, 那么就会执行黑客的远程指令, 接下来会发生什么我就不敢想了. 当然我也没有去试.
说实话, 我不禁感慨, 自从建站以来, 我跟不少人说过我的网站, 但第一个光顾的竟然是黑客…. 不过也多亏如此, 应该除了我没有受害者, 这也是值得庆幸的一点.
我不久前还想草拟一份君子协定式的 “网站协议”, 大意是 “我可以加强防护, 但这样我也麻烦, 你也麻烦, 所以干脆大家都体面点, 你别攻击我, 我也少些工作.” 但现在看来果然是不行的啊.
发表回复