网站被篡改的情况多见于企业官网，有的网站甚至打出了百度竞价。 另外，虽然直接访问网站很难发现问题，但在百度上访问后发现跳转到了违法内容的链接。 在百度上搜索官网，发现搜索结果中的网站Title、Description被篡改了。 　　

　　

　　这种行为的目的是在这些受害网站上获得排名，然后跳到非法网站，达到非法目的。 对企业来说不仅会失去百度竞价的费用，也会对企业形象产生巨大的影响。 网站可能会被空间公司关闭，或者被相关机构删除。 　　

　　

　　那么，遇到这种情况该怎么解决呢？ 这要具体分析原因。 以下介绍的所有步骤都很重要。 这也是我们锦技运维服务多年的客户之后总结的经验。 　　

　　

　　首先，暂时恢复主页。 　　

　　

　　我发现这种情况有一个共同点，就是网站的首页被篡改了。 如果原始首页是动态文件，它将被删除并替换为静态文件，如html或htm格式的index或default文件。 Title、Description更改为Unicode代码，用户看不到具体内容，但搜索引擎会将其解释为字符。 因此，搜索浏览网站的结果是被篡改了。 它里面有几个Js，我判断通过百度会的访问都会跳。 　　

　　

　　首先删除应该被篡改的文件，从备份中恢复首页文件。 请注意，这只是第一步，是暂时恢复首页的方法。 不久，该文件将被替换并被篡改。 无论如何，首先要恢复网站的门。 包括之后的操作在内，也要经常注意首页的恢复，不要烦躁，如果发现被篡改了，请马上恢复首页。 　　

　　

　　步骤2、对照所有站码： 　　

　　

　　首先自己手里需要完整的网站备份，特别是代码备份。 直接登录到服务器或FTP并链接到网站上的目录，然后将每个目录与文件以及备份的目录和文件之间的差异进行匹配。 请注意，无论目录的层次结构有多深，都必须细分为每个目录，以便一个接一个地匹配。 用PHP写的网站中可能会出现扩展名为ASP的文件，上传目录中可能会出现动态文件，隐藏得很深的目录中可能会出现不该出现的文件，有时会发现奇怪的文件名。 您可以使用一些小技巧(例如对文件更新时间进行排序)来加快故障排除。 如果可以远程登录到服务器，则可以使用几种文件匹配工具来辅助执行此操作。 删除找到的所有可疑文件或更改文件名。 　　

　　

　　如果你感兴趣，可以打开这些文件的代码。 一般可以找到明文密码。 通过URL访问这些文件并输入密码，可以看到这是一个可以操作整个服务器的脚本。 此外，还可以运行Dos命令，访问每个驱动器号的每个目录，以根据需要在系统中嵌入或删除文件。 　　

　　

　　这第二步需要很长时间，其实主要是细心，不漏一点蛛丝马迹。 　　

　　

　　第三步，分析访问日志： 　　

　　

　　一些虚拟主机空间运营商可以提供访问日志，或者云主机可以配置web服务来记录每天的访问。 使用访问日志确定最近是否有访问不正常的目录或文件，以及这些可疑文件来自哪个IP。 这样可以检测到服务器上存在的恶意文件。 　　

　　

　　但是，有时会发现奇怪的现象，即在FTP或云主机目录中看不到此文件。 打开查看隐藏文件的选项时，您看不到该文件，但可以从网站访问该文件。 在这种情况下，云主机可以通过Dos命令找到并删除该文件。 对于虚拟主机来说很麻烦，如果与空间运营商联系或以某种方式上传同名的可显示文件，隐藏文件将被复盖并删除。 如果由于权限等原因无法删除，则联系空间运营商处理可能会更快。 　　

　　

　　访问日志还可以分析经常访问这些恶意文件的IP或IP。 您可以阻止这些IP或IP网段。 请记住将来要解除屏蔽。 特别是屏蔽网段时。 　　

　　

　　第四步，寻找漏洞： 　　

　　

　　其次，我们需要寻找造成这种问题的原因。 否则，这些问题仍然会继续发生。 　　

　　

　　首先是服务器漏洞。 这是云主机的重要考虑事项。 这项工作需要平时日常进行，而不是在出现问题后再进行。 请记住定期更新补丁并安装防火墙。 有条件的话安装企业级商务版防火墙。 如果没有条件的话可以用免费版的个人防火墙，但不能再多了。 必须打开win系统附带的防火墙吧。 当然，配置自动定时更新，配置发现病毒时的自动处理逻辑即可。 　　

　　

　　我们见过国有企业的大客户。 他们最主要的云主机竟然有三年多没有更新补丁或安装防火墙了。 直到服务器上的多个网站被篡改，系统被木马打得真的逃不掉了，才要求我们解决。 其实这件事是日常的工作，平时不怎么费事，但是出了问题就大问题了。 ） 　　

　　

　　不仅是服务器的漏洞，网站代码的漏洞和限制也可能不严格，这关系到程序作者的技术能力。 如果遇到这种情况，就需要和程序员一起寻找问题。 程序逻辑是否有问题，是否有文件上传限制等。 　　

　　

　　环境构成引起的脆弱性。 这需要注意的是，web服务的配置、权限配置不当，或者站点目录中是否人为设置了everyone或guest可写入权限。 文件上传目录不能赋予执行权限。 　　

　　

　　还需要注意的第三方插件漏洞，例如站点常用的富文本编辑器中的漏洞。 有些编辑器不是拿来就可以使用的，必须在其中配置上传功能，过滤不应该上传的文件类型的文件名。 结合上述内容，必须删除文件上载目录的执行权限。 确保编辑器目录不位于根目录中，并保留目录名称的缺省值。 通过这种方式，脆弱性可以直接利用。 　　

　　

　　(在这里提示的话，市场占有率极高的某富文本编辑器会在IIS环境中出现漏洞，需要特别注意。 ） 　　

　　

　　第五步，其他合理配置： 　　

　　

　　不要在后台管理路径中使用容易猜测的文件名或目录名，如admin。 用户名和密码尽量设置得复杂。 FTP帐户和远程管理帐户也是如此。 如果FTP服务未使用，请暂时停止。 对于要在站点上使用的数据库链接帐户Mssql，请不要使用sa。 Mysql不要使用超级用户。 为站点创建单独的帐户，限制帐户权限，更改数据库端口，并禁止外部链。 关闭不需要的服务，关闭不需要的端口。 通过结合防火墙进行配置，云服务现在可以直接配置安全策略，只开放使用的端口。 如果需要始终通过外链管理服务器，则优选通过VPN组虚拟LAN添加证书。 　　

　　

　　步骤6、观察和重复操作： 　　

　　

　　做了以上工作后，接下来是继续观察。 首页是否还被篡改，意味着网站中的恶意文件还没有清除干净，需要重复以上多个环节。 注意，只要一个恶意文件没有被清除，它就会引入数十个或上百个恶意文件的嵌入。 所以，在彻底清除干净，堵塞所有漏洞清除恶意文件之前，耐心是很重要的。 　　

　　

　　(我们遇到过一位客户的网站内嵌了上千个木马，而且没有备份。 我们的技术人员只能手动查看和分析每一个目录，几乎等待24小时随时解决问题，最终完全解决问题花了一个半星期。)。 　　

　　

　　总结： 　　

　　

　　以上写的这6个步骤是比较常见的操作手法，遇到不同的情况一定要做不同的分析，定制不同的解决方案和侧重点，采用几种不同的小技巧。 因此，如果您没有技术能力，我们建议您购买锦技运输服务。 我们的专业技术人员为客户服务。 而且，维护成本极低。