网站“被黑”之后的处理方法
什么是网站“被黑”
网站“被黑”,是指黑客利用网站的程序、设置等方面的安全漏洞或管理员安全疏忽(如密码复杂度低),未经管理员授权,对网站进行了篡改(例如添加垃圾内容或者添加其他网页)或者向网站注入恶意代码等。
如何知道是否“被黑”
● 分析系统日志、服务器日志,检查自己站点的页面数量、流量等是否有异常波动,是否存在异常访问或操作日志;
● 检查网站文件是否有不正常的修改,尤其是首页等重点页面;
● 网站页面是否引用了未知站点的资源(图片、JS等),是否被放置了外站的异常链接;
● 检查网站是否有不正常增加的文件或目录;
● 检查网站目录中是否有非管理员打包的网站源码、未知txt文件等。
“被黑”之后如何处理
如果您的网站被黑或者感染了恶意软件,则应该迅速采取以下步骤进行修复:
避免问题扩大:立即关停自己的网站以避免感染网站来访者的计算机(如果您有权访问自己的服务器则最好将其配置为返回503状态代码),并通知自己的网络托管商协助解决问题;
如果你还有其他网站,检查它们是否也已被黑;
更改所有用户和所有账户的密码(例如,FTP 访问密码、管理员帐户密码、内容管理系统授权帐户密码);
● 检查自己的网站中是否有已遭到攻击的开放重定向网址;
● 根据所用的网站平台,检查 .htaccess 文件(Apache)或其他访问控制机制,以找出恶意更改;
● 检查服务器日志,以查看文件被黑的时间(记住,黑客可能更改日志)。查找是否有可疑的活动,例如失败的登录尝试、命令(尤其是以根用户身份发出的命令)历史记录或未知的用户帐户;
下载并使用最新的病毒扫描程序扫描网站源程序,找出任何可能由黑客添加的恶意代码。请务必扫描所有内容,而不是仅扫描基于文本的文件,因为恶意内容往往会嵌入图片中;
清理自己的网站:清理自己的内容,根据病毒扫描程序识别结果删除黑客添加的所有网页、垃圾内容和可疑代码。如果您备份了内容,则可考虑彻底删除自己的内容,然后替换为已知的最新完好备份(已核实既无漏洞又不含被黑内容的一次备份)。
● 将服务器所有软件包都更新到最新版本。建议您使用可靠的来源彻底重新安装操作系统,以确保删除黑客篡改的所有内容。另外,如果安装了博客平台、内容管理系统或任何其他类型的第三方软件,请务必将其重新安装或进行相应更新;
● 确定自己的网站不含漏洞后再改一次密码;
● 将系统设置为可公开访问:更改服务器配置,使其不再返回503状态代码,并且采取所有其它必要措施向公众开放自己的网站。
如何防止“被黑”
定期检查服务器日志等方式发现问题,检查是否有可疑的针对非前台页面的访问;
经常检查网站文件是否有不正常的修改或者增加;
关注操作系统,以及所使用程序的官方网站。及时下载补丁,修补安全漏洞;必要时建议直接更新至最新版本;
修改开源程序关键文件的默认文件名,作弊者通常通过程序自动扫描某些特定的文件是否存在来判断是否使用了某套程序;
修改默认管理员用户名,提高管理后台的密码强度,使用字母、数字以及特殊符号多种组合的密码;
关闭不必要的服务,以及端口;
关闭或者限制不必要的上传功能;
设置防火墙等安全措施;
若问题反复出现,建议重新安装服务器操作系统,并重新上传备份的网站文件;
缺乏专业维护人员的网站,建议向专业安全公司咨询;
快速发现并处理被黑内容,并做好被黑的预防,非常体现一个网站的运营水平。上述的几点仅仅是初步的参考并不能面面俱到。做好网站的安全需要站长、管理员们的不断努力。