下载服务器日志。
当发现网站被黑以后,首先要做的就是下载日志文件,包括服务器日志和ftp传输日志,服务器的日志位置一般是位于c:\windows\system32\logfiles\w3svc1。ftp日志则取决于服务器所安装的ftp软件,比如serve-u默认是在安装目录下。对于虚拟主机用户。一般空间提供商都会提供3天之内的日志以及1个月的ftp日志下载,具体可以咨询服务商。
替换所有恶意代码
进行下载日志的同时,应该开始删除恶意代码,以免影响用户体验。如果拥有服务器权限,推荐把恶意插入的代码批量替换掉。如果使用虚拟主机,有部分虚拟主机提供批量替换功能。这项操作要谨慎点,因为是对内容直接进行替换,稍微一马虎可能让网页内容面目全非。所以一定先做好相关备份。
下载到本地杀毒,或者服务端杀毒
接下来,要开始找出入侵的幕后黑后了。记住,发现病毒先不要忙着删除。如果拥有个人服务器,可以开启杀毒软看看,如果是使用虚拟主机可以下载到本地,用杀毒软件杀。发现病毒以后不要忙着杀掉。查看病毒文件修改时间。搜索刚修改时间,检查这段时间建立或者修改了什么文件。
根据日志的提示修改漏洞页面,字符串参数过滤单引号,数字参数格式化为数字类型。在查询分析器使用sp_dropextendedproc ‘xp_dirtree‘删除掉它,同时删除掉其他的一些危险的存储过程。
修改ftp密码,超级管理员密码,3389登陆端口,用户名,密码。接着就是善后了。对方如果已经入侵了站点,这些密码都不再是密码,因此最保险的做法就是全部改掉。
将ip,入侵时间,日志提交给当地网警。查询对方网站所用ip,打电话到对方网站所在地的通信管理
网站被攻击或者被黑的原因很多,大致总结下来会有两种情况,网站被黑客攻击?到底是谁干的?1、流量攻击或cc、dos攻击,一般是同行嫉妒,想给你排名打掉。
2、篡改网页,增加网页,修改后台
我们先分别对以上两种情况进行分析:
一、流量攻击(cc或dos等)
这种情况就是,不改你网站,我就模拟大量的请求来针对你的网站,就像你在卖菜,我弄几万个人去你摊位前找你谈话,你生意就做不下去了。这里的就是我请求你的网站,你网站单位时间可以应答的次数是有限的,所以这时候你就无暇应对真实客户的访问,导致网站“瘫痪”。
这种情况,一般情况下,是你的同行干的,因为这种攻击是要找具有攻击能力的资源,是要花钱的,对于跟你这个行业不相干的人来说,他得不到利益。所以只有你的同行在你网站瘫痪的时候,他可以多接一些单子,或者是他可以解一口气。
所以,这种情况,不是你的同行,就是你得罪什么人了……
二、黑你的网站,修改你的数据(篡改、添加网页)
这种情况,一般是有利可图的,为了从高权重网站上导出链接,挂黑链,或者是取得网页排名,他会黑你的网站。如果你网站排名不好,他就是给你网页上加了一个黑链,对他网站帮助也不大,所以一般是你网站比较好,他才会这样来攻击你的网站。
常见的有:增加一些非法网页到你网站,用你域名创建二级域名做网站,用你域名后边加端口号创建网站,篡改你的页面,让你页面跳转……这种黑网站的方式比较多,也是最常见的。
那么对于网站主,你怎么防止这种情况发生呢?
第一种情况:用cdn加速等隔离或者缓冲这种攻击
(1)启用cdn加速
(2)把动态网页改为静态网页,减少单次请求资源耗费
(3)升级服务器,迫使攻击升级,如攻击升级赶不上服务器升级则攻击就宣告失败
第二种情况:篡改网站
这种情况略微复杂,我们要先搞清楚原理:网站就好比是一个小孩儿,攻击就好像是流行性感冒如果出生时候先天免疫缺陷,就更容易感染,你可以通过:(1)放到比较安全的屋子里(2)更更好地照料,对于网站也一样,如果你有一个更好点的服务器,或者服务器的管理者更专业,就能减少这种被黑。另外,不同的是,网站还有一种可能,就是改版重新做。所以建议是:
(1)改版重新做
(2)搬迁到更专业的服务商那里维护
网站被黑的影响有如下几点1、网站降权
网站降权是最重要的一个影响,因为大多数网站都有数据库和文件备份,所以不可能被黑客全部毁掉网站,所以最严重的应该是网站权重下降的问题,一旦网站被黑,网站之前做的所以的关键词排名会迅速下降,甚至没有,而这个恢复时间往往很漫长,特别是对企业影响极大。
2、网站信誉下降
如果是一个企业网站,出现了被黑,打开后又有产品,又有赌博之类的,客户自然不敢购买你的产品了,知道的人以为你网站被黑了,不知道的人还以为企业兼职在做赌博。
还很可能被用户举报,从而百度把网站列入不受信任网站,甚至有风险的网站,客户量大量流失。
3、风险提示
最后一个就是安全联盟的风险提示,搜索某一个词,在搜索引擎的结果页面中显示红色字样的明显提示—风险网站,打开时还会提醒这是一个风险网站,自然很难让客户相信你这个站点,这样的结果是网站基本没流量,也没关键词排名。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)