如果發(fā)現(xiàn)網(wǎng)站出現(xiàn)異常情況，如頁面被修改、管理賬號不能登錄，則說明網(wǎng)站已經(jīng)被入侵。這時就需要盡快進行處理，以防止黑客種植的網(wǎng)頁病毒擴散。

　　暫時關(guān)閉網(wǎng)站

　　網(wǎng)站被黑客入侵后，最常見的情況就是被植入木馬程序，為了保證瀏覽者的安全，必須先關(guān)閉網(wǎng)站，待處理完畢后再開放。關(guān)閉時可以暫時將域名轉(zhuǎn)向其它地址，如建立一個網(wǎng)站的帖吧，或者放置一個說明頁面。

　　使用備份恢復(fù)

　　如果網(wǎng)站文件被黑客破壞或刪除，假如事先進行過網(wǎng)站數(shù)據(jù)備份的話，可以直接使用備份文件恢復(fù)。萬一沒有對備份進行備份，而數(shù)據(jù)又非常重要的話，建議先不要進行任何操作，立即請專門進行數(shù)據(jù)恢復(fù)的公司嘗試恢復(fù)服務(wù)器硬盤中的數(shù)據(jù)。

　　因為有些虛擬主機服務(wù)商會定時備份服務(wù)器中的數(shù)據(jù)，使用虛擬主機空間的用戶，還可以聯(lián)系空間商獲取數(shù)據(jù)備份。

　　打補丁查漏洞

　　當程序漏洞被公布時，程序的官方網(wǎng)站都會發(fā)布程序的補丁，只需要下載相應(yīng)的文件，按照說明上傳到網(wǎng)站空間覆蓋原文件即可。如果暫時沒有出現(xiàn)相關(guān)的補丁，則可以暫時禁用或刪除某些功能文件。

　　接著我們可以查看網(wǎng)站的訪問日志，找出訪問木馬程序的IP地址記錄，根據(jù)查詢到的IP地址，再次查看黑客還訪問了哪些頁面，檢查這些頁面是否有其它漏洞。

　　木馬程序檢測

　　站長可以根據(jù)網(wǎng)頁文件的修改時間來判斷是否被植入木馬，方法是察看所有被更改的文件的更改日期，由于是木馬修改了這些頁面，因此它們修改日期非常接近。然后查詢此日期最近新建立的asp、aspx、asa文件，將異常文件進行隔離或刪除。

　　使用PhpWind論壇程序的站長還可以下載專用的網(wǎng)頁木馬檢測工具來進行木馬的檢測和清除（下載地址：http://www.phpwind.com/2.0/safe.zip），解壓后將文件全部上傳到論壇目錄中，如果服務(wù)器是Linux 或FreeBSD系統(tǒng)還需要設(shè)置論壇目錄為可讀寫模式。接著在瀏覽器中輸入safe.php文件的絕對地址，程序?qū)⒆詣訖z測站點中的文件，檢測完成后將會顯示安全報告。

　　我們也可以使用專門的網(wǎng)頁木馬檢測工具進行檢查，下載一款“網(wǎng)站程序安全分析器”（下載地址：http://www.zyw365.com/soft/softdown.asp?softid=1780），解壓后打開主程序（圖1），接著使用FTP軟件將網(wǎng)站文件全部下載到本地硬盤，選擇文件所在的文件夾后點擊“掃描”按鈕即可。稍等片刻，軟件將顯示掃描到的木馬文件名稱，要注意的是，該軟件檢測比較苛刻，一些組件文件和后臺管理程序也會被列入危險文件，在使用時需要仔細鑒別。
　批量修復(fù)網(wǎng)頁

　　一般黑客侵入網(wǎng)站后都是在網(wǎng)頁中加入代碼進行木馬的種植，從而使用戶在瀏覽網(wǎng)站時自動打開并下載木馬程序，一些木馬程序會自動在所有的網(wǎng)頁文件后面添加一行代碼：，如果網(wǎng)站文件很多，手工一個個清除簡直是不可能的事。這時可以使用數(shù)碼龍網(wǎng)頁批量修改器進行惡意代碼的批量刪除。

　　首先刪除網(wǎng)站空間中存在的木馬文件，接著下載數(shù)碼龍網(wǎng)頁批量修改器，打開軟件主程序后在“刪除字符”欄目中輸入檢測出的惡意代碼，然后選擇網(wǎng)站文件所在的文件夾，單擊“開始”按鈕，軟件將自動完成網(wǎng)頁的修復(fù)操作（圖2）。當確認沒有惡意代碼后，將所有文件上傳到網(wǎng)站空間即可。

最新評論