第一:當網站被黑后可以暫時選擇關閉網站
這樣處理的意義在于:為了保證瀏覽者的安全,控制住病毒源防止擴散。根據自身情況具體措施包括:服務器配置為503狀態;聯系網絡服務商了解情況;暫時更改用戶及其密碼等。
第二:使用備份恢復
如果網站文件被黑客破壞或刪除,假如事先進行過網站數據的備份的話,則可以直接將使用備份文件恢復,萬一沒有對備份進行備份而數據非常重要的話,建議先不要進行任何操作,立即請專門進行數據恢復的公司嘗試恢復服務器硬盤中的數據。
因為有些虛擬主機服務商會定時備份服務器中的數據,如果是使用虛擬主機空間的用戶,還可以聯系空間商獲取數據備份。
第三:做好來源及損失評估
根據被黑情況分析,網站不常規的地方包括:未知資料、異常鏈接、異常文件目錄、代碼等,快速查找被黑客入侵的網頁或代碼,進行初步刪除、掃描等,防止進一步擴散。之后全站全盤掃描處理,進行二次清除。
第四:做好日志分析、修補補丁、木馬檢測
檢查服務器日志,以查看文件被黑的時間(記住,黑客能更改日志),查找是否有可疑的活動,例如失敗的登錄嘗試、命令(尤其是以根用戶身份發出的命令)歷史記錄或未知的用戶帳戶。
根據服務器日志分析,找出薄弱的或被黑客攻擊漏洞。有過這樣被黑的經歷,平時就應該養成及時下載補丁,修補安全漏洞,必要時建議直接更新至最新版本。
根據木馬更新時間一般是最近的日期,然后查詢此日期最近新建立的asp、aspx、asa文件,將異常文件進行隔離或刪除。當然比較直接的方法就是借助木馬查詢工具,這樣比較快捷,但是同時會刪除一樣必要的安全文件,所以必須注意篩選。
第五:修改一切網站、服務器、FTP等的秘密
當網站被黑后要修改一切網站、服務器、FTP等文件傳輸軟件的密碼,而本人建議最好修改服務器的端口,超級管理員密碼。畢竟小心駛得萬年船嘛。而我們獲得的那個IP,網站被入侵的日志分析,提交給當地的網警。接下來的事情交給網警處理就好了。