“网站被黑”如何处理
很多网站都遇到过被黑,插入恶意代码的经历。要很好地应对网站入侵还需要关键的几步:
下载服务器日志。
当发现网站被黑以后,首先要做的就是下载日志文件,包括服务器日志和ftp传输日志,服务器的日志位置一般是位于c:\windows\system32\logfiles\w3svc1。ftp日志则取决于服务器所安装的ftp软件,比如serve-u默认是在安装目录下。对于虚拟主机用户。一般空间提供商都会提供3天之内的日志以及1个月的ftp日志下载,具体可以咨询服务商。
替换所有恶意代码
进行下载日志的同时,应该开始删除恶意代码,以免影响用户体验。如果拥有服务器权限,推荐把恶意插入的代码批量替换掉。如果使用虚拟主机,有部分虚拟主机提供批量替换功能。这项操作要谨慎点,因为是对内容直接进行替换,稍微一马虎可能让网页内容面目全非。所以一定先做好相关备份。
下载到本地杀毒,或者服务端杀毒
接下来,要开始找出入侵的幕后黑后了。记住,发现病毒先不要忙着删除。如果拥有个人服务器,可以开启杀毒软看看,如果是使用虚拟主机可以下载到本地,用杀毒软件杀。发现病毒以后不要忙着杀掉。查看病毒文件修改时间。搜索刚修改时间,检查这段时间建立或者修改了什么文件。
根据日志的提示修改漏洞页面,字符串参数过滤单引号,数字参数格式化为数字类型。在查询分析器使用sp_dropextendedproc ‘xp_dirtree‘删除掉它,同时删除掉其他的一些危险的存储过程。
修改ftp密码,超级管理员密码,3389登陆端口,用户名,密码。接着就是善后了。对方如果已经入侵了站点,这些密码都不再是密码,因此最保险的做法就是全部改掉。
将ip,入侵时间,日志提交给当地网警。查询对方网站所用ip,打电话到对方网站所在地的通信管理局投诉,一定要报案,需要保存对方入侵的日志,还有ip提供给警方。同时,如果对方插入了恶意代码里面包含网址,可以向信息产业部报案,可以打电话到网站所在地的通信管理局投诉。
网站隐患漏洞,修补预防,需要很多专业的知识,也不仅仅是知识,还需要大量的经验积累,所以从做网站到维护网站维护服务器,尽可能找专业的技术人员或团队协助。
检查网站是否有不正常增加的文件或目录
避免问题扩大:
立即关停自己的网站以避免感染其他网站(如果您有权访问自己的服务器则最好将其配置为返回503状态代码);并与自己的网络托管商联系了解是否已经采取措施解决问题;更改所有用户和所有账户的密码(例如,FTP 访问密码、管理员帐户密码、内容管理系统授权帐户密码)。
评估损失: 使用最新的扫描程序扫描您的计算机,找出任何可能由黑客添加的恶意代码。请务必扫描所有内容,而不是仅扫描基于文本的文件,因为恶意内容往往会嵌入图片中。 删除被黑的网页或网址。这样可防止系统向用户提供被黑的网页。 向我们报告网上诱骗网页。 查看antiphishing.org 中针对被黑的网站提出的处理建议。 如果您还有其他网站,请检查它们是否也已被黑。如果有权访问自己的服务器,请继续执行以下步骤:展开详情检查自己的网站中是否有已遭到攻击的开放重定向网址。根据所用的网站平台,检查 .htaccess 文件 (Apache) 或其他访问控制机制,以找出恶意更改。检查服务器日志,以查看文件被黑的时间(记住,黑客能更改日志)。查找是否有可疑的活动,例如失败的登录尝试、命令(尤其是以根用户身份发出的命令)历史记录或未知的用户帐户。收起详情清理自己的网站: 清理自己的内容,根据病毒扫描程序识别结果删除黑客添加的所有网页、垃圾内容和可疑代码。如果您备份了内容,则可考虑彻底删除自己的内容,然后替换为已知的最新完好备份(已核实既无漏洞又不含被黑内容的一次备份)。
如果有权访问自己的服务器,请继续执行以下步骤:展开详情将所有软件包都更新到最新版本。我们建议您使用可靠的来源彻底重新安装操作系统,以确保删除黑客篡改的所有内容。另外,如果安装了博客平台、内容管理系统或任何其他类型的第三方软件,请务必将其重新安装或进行相应更新。。确信自己的网站不含漏洞后再改一次密码。将系统设置为可公开访问。更改服务器配置,使其不再返回 503 状态代码,并且采取所有其他必要措施向公众开放自己的网站。收起详情申请解除屏蔽:当您按照以上提示仔细排除异常后,可以告知我们解除对您网站的屏蔽,在未完全排除全部异常的状态下提交申请将无法通过我们的检查,进而无法解除屏蔽。 如何防止“被黑”定期检查服务器日志等方式发现问题,检查是否有可疑的针对非前台页面的访问; 经常检查网站文件是否有不正常的修改或者增加; 关注操作系统,以及所使用程序的官方网站。及时下载补丁,修补安全漏洞;必要时建议直接更新至最新版本; 修改开源程序关键文件的默认文件名,作弊者通常通过程序自动扫描某些特定的文件是否存在来判断是否使用了某套程序; 修改默认管理员用户名,提高管理后台的密码强度,使用字母、数字以及特殊符号多种组合的密码; 关闭不必要的服务,以及端口; 关闭或者限制不必要的上传功能; 设置防火墙等安全措施; 若问题反复出现,建议重新安装服务器操作系统,并重新上传备份的网站文件; 缺乏专业维护人员的网站,建议向专业安全公司咨询; 快速发现并处理被黑内容,并做好被黑的预防,非常体现一个网站的运营水平。上述的几点仅仅是初步的参考并不能面面俱到。
这样处理的意义在于:控制住病毒源防止扩散。根据自身情况具体措施包括:服务器配置为503状态;联系网络服务商了解情况;暂时更改用户及其密码等。
2.最小化的方式:来源及损失评估
根据被黑情况分析,网站不常规的地方包括:未知资料、异常链接、异常文件目录、代码等,快速查找被黑客入侵的网页或代码,进行初步删除、扫描等,防止进一步扩散。之后全站全盘扫描处理,结合查看处理,进行二次清除
3.最全面的方式:日志分析、修补补丁、木马检测检查服务器日志,以查看文件被黑的时间(记住,黑客能更改日志),查找是否有可疑的活动,例如失败的登录尝试、命令(尤其是以根用户身份发出的命令)历史记录或未知的用户帐户。
根据服务器日志分析,找出薄弱的或被黑客攻击漏洞。有过这样被黑的经历,平时就应该养成及时下载补丁,修补安全漏洞,必要时建议直接更新至最新版本。
根据木马更新时间一般是最近的日期,然后查询此日期最近新建立的asp、aspx、asa文件,将异常文件进行隔离或删除。当然比较直接的方法就是借助木马查询工具,这样比较快捷,但是同时会删除一样必要的安全文件,所以必须注意筛选。
4.最彻底的方式:启用数据备份
相对的数据备份是发生在网站被黑之前,是相对安全的,也是恢复网站运营的最快捷的办法,当然根据自身情况数据备份一般有:网络服务商的虚拟主机的数据备份、公司网站内部部门的数据备份、外包的专业数据备份公司。看公司的性质选择数据备份飞方式,目的就是最快的方式恢复网站的运营。
2021-12-31 · 百度认证:青岛四海通达电子科技有限公司官方账号
网站安全服务器安全
