2022年百度自然排名受到很大的影響，但作為站長每天忙碌的就是發(fā)文章做優(yōu)化，讓網(wǎng)站有更好的排名從而帶來許多客戶，但近網(wǎng)站總是中毒信息被篡改，導(dǎo)致快照內(nèi)容被篡改，網(wǎng)站目錄下的頁文件總是被反復(fù)篡改，說到這里，很多做站長的特別能理解網(wǎng)站中毒后帶來的損失，輕則排名下降，重則降權(quán)，那么由網(wǎng)站漏洞修復(fù)的SINE安全技術(shù)為大家詳細(xì)介紹。
被黑，打開竟然跳轉(zhuǎn)到博cai上去了，一開始以為自己看錯了，多次從百度點擊自己進(jìn)去，還是會跳轉(zhuǎn)到彩piao上，反應(yīng)是自己的被黑了，經(jīng)營很多年了，從來未遇到過這種情況。
先來看下被黑的情況，從百度里輸入自己的域名，發(fā)現(xiàn)自己的快照被改成什么北京sai車，北京等等內(nèi)容，還被百度提示，說什么百度網(wǎng)址安全中心提醒您：該頁面可能已被非法篡改！搞的我頭都大了，我說呢近的排名下降的厲害，原來是被黑，導(dǎo)致被降權(quán)，客戶都搜索不到我們公司了。
那么該如何解決被黑？ 防止被黑呢？
我從百度里查詢了好多關(guān)于為什么被黑的原因，總結(jié)了一下，首先被黑的根本原因是存在著漏洞，攻擊者利用的漏洞，進(jìn)入了的后臺。再一個原因是的后臺管理員賬號密碼比較容易猜測到，F(xiàn)TP的賬號密碼也被容易猜測到，還有就是存在上傳的漏洞，導(dǎo)致可以上傳木馬后門進(jìn)來。
大體上我了解清楚了，被黑的主要原因是：我的有漏洞，這個一開始的建設(shè)，設(shè)計都是我在負(fù)責(zé)，采用的是ecshop商城系統(tǒng)，php+Mysql數(shù)據(jù)庫架構(gòu)開發(fā)的，存在漏洞，那就要檢查的漏洞到底是在哪里，包括存在哪些后門，病毒什么的。連接我們的FTP，下載了所有代碼，圖片，數(shù)據(jù)庫文件到自己的電腦里，百度搜索ecshop漏洞，查看近出現(xiàn)的ecshop漏洞詳情以及如何利用，查看了自己的代碼，再來對比漏洞產(chǎn)生的代碼，發(fā)現(xiàn)了問題，確實存在漏洞，存在sql注入漏洞，這個漏洞可以查詢的管理員賬號密碼，攻擊者知道的后臺賬號密碼，那么就可以進(jìn)入到我們的后臺，我查看了ecshop后臺登陸記錄，發(fā)現(xiàn)有一個來自中國香港IP的登陸，然后看了他的操作記錄，是上傳了一個PHP腳本文件到我的里，追尋著他的操作記錄，我打開了這個PHP腳本文件，打開后，我發(fā)現(xiàn)這個PHP文件功能很強(qiáng)大，可以修改我的任何文件，以及上傳，下載，修改文件的權(quán)限，都是可以的。通過百度搜索，這個PHP腳本文件竟然是webshell，簡單來講是的木馬后門，可以對進(jìn)行控制。
掉這個后門，再根據(jù)這個后門代碼的特征進(jìn)行搜索，看看還沒有其他的后門了，搜索了一下沒有再發(fā)現(xiàn)，接下來就是要對的漏洞進(jìn)行修復(fù)，查看了ecshop漏洞的修復(fù)方案，對產(chǎn)生漏洞代碼進(jìn)行了更改，數(shù)組與轉(zhuǎn)換模式的代碼更新即可。辛虧我對代碼這塊懂一些，如果對代碼不是太懂的話，建議找安全公司幫你修復(fù)漏洞，清理掉的木馬后門，防止再被黑。
打開還是會跳轉(zhuǎn)到博cai，看了下首頁代碼竟然被添加了一些加密的內(nèi)容,如下：
標(biāo)題以及描述，都被改成這樣了，清理掉這些代碼后，沒有再被跳轉(zhuǎn)了,以上就是我解決被黑問題的整個過程，如果您的也被黑，也可以按照我的這個方法去解決試試。
被黑的總結(jié)和解決辦法
被黑，導(dǎo)致排名掉的，要盡快恢復(fù)到安全狀態(tài)，的漏洞要盡快的修復(fù)，經(jīng)常查看下的后臺有沒有提示要升級到新版本，再一個重要的是管理員的密碼一定要復(fù)雜，越復(fù)雜越好。也可以找安全公司去處理，國內(nèi)SINE安全公司，綠盟安全，啟明星辰安全都是比較的。在一個就是要多備份下自己的，多備份，多更新補(bǔ)丁，一定沒錯的。

2019年很多公司遇到被黑的問題,因為大多數(shù)用的都是一些主流，開源的cms系統(tǒng)開發(fā)的程序,還有的公司找的當(dāng)?shù)亟ㄔO(shè)公司去做的,而天天被黑的遭遇找到建設(shè)公司也只能解決一時,沒過多久又被黑了，具體的情況特征以及如何解決被黑,下面由國內(nèi)安全公司的Sine安全技術(shù)來為大家逐一解答.
什么是被黑?
被黑是因為的程序代碼存在漏洞以及后門木馬導(dǎo)致的被黑,都是通過的各個漏洞,比如跨站腳本攻擊,getshell以及圖片上傳,和sql注入攻擊,以及等等手法拿到了的高權(quán)限上傳了腳本后門也俗稱webshell木馬,這也是為何清理了木馬代碼而又被反復(fù)篡改攻擊的主要原因。
被黑具體表現(xiàn)
從百度搜索公司名稱或域名顯示的快照內(nèi)容不符,一般都是顯示一些du博內(nèi)容,點擊進(jìn)入會跳轉(zhuǎn)到其他，如果直接從瀏覽器里輸入域名打開的話就顯示正常,再一個檢查下首頁的程序文件里有無可疑加密的代碼如下圖：
而且有的可能會在百度搜索中看到提示網(wǎng)址安全中心風(fēng)險的紅色標(biāo)識：
如果這幾種狀況有其一,出現(xiàn)了的話那么說明你的已經(jīng)被黑了,一般這種被跳轉(zhuǎn)的情況都是反復(fù)性質(zhì)的被篡改,因為公司出現(xiàn)問題后首先想到的就是找當(dāng)初的建設(shè)公司來處理,但是他們只能是把原先的備份文件給你替換上去,這只能是一時的,沒過多久就又出現(xiàn)被黑的了,很多公司都是做的百度推廣都是被停止了投放,必須要恢復(fù)正常訪問才能投放廣告,這一點是損失公司利益的,那么既然了解了這個的表現(xiàn),那么接下來就是重要的解決辦法了.
被黑怎么解決處理
首先你要知道所使用的空間是虛擬主機(jī)還是單服務(wù)器,大部分的公司都是虛擬主機(jī),那么只要知道ftp信息即可操作，如果是單服務(wù)器的話必須要知道遠(yuǎn)程端口以及管理信息，首先登陸ftp后查看目錄下的index.php或index.html文件看看被修改時間,然后再仔細(xì)尋找這個時間段文件然后對比下本地的備份看看是否是可疑或是新增加的,如果是的話直接一并,而首頁文件被增加的加密代碼只要去掉加密和跟隨js代碼就可以了,如果有備份的話直接替換即可.做好這些步驟后就可以恢復(fù)正常訪問了,剩下的問題就是要對的漏洞進(jìn)行修復(fù)了，對代碼不是太懂的話，也可以找的安全公司來解決被黑的問題。
如何修復(fù)漏洞?
對程序代碼進(jìn)行安全檢測,檢查sql查詢語句是否帶有符號之類的操作,應(yīng)過濾一些非法參數(shù)，對于圖片的上傳進(jìn)行后綴嚴(yán)格控制,對圖片上傳的目錄進(jìn)行腳本權(quán)限設(shè)置,只允許靜態(tài)文件訪問不允許動態(tài)腳本訪問,檢查留言功能提交是否過濾一些符號,看下的后臺目錄是否使用一些默認(rèn)的文件名如admin,manage,houtai等等的目錄名,管理員的密碼使用10到16位大小寫字母加數(shù)字加符號的組合，如果自己懂程序，那就可以自己針對代碼的漏洞進(jìn)行漏洞修復(fù)，不懂的話，就請的安全公司來完善一下程序上的某些代碼漏洞。

做的人怕什么?肯定是怕自己的被黑掉，如何知道判斷自己的被黑呢?如果被黑以后怎么辦呢?下面我來告訴大家。
一、如何判斷被黑
先通過外界對進(jìn)行觀察，如果有如下現(xiàn)象，那您的可能被黑了
1、通過百度站長平臺的索引量工具，發(fā)現(xiàn)站點收錄量大增;再通過搜索關(guān)鍵詞工具發(fā)現(xiàn)，站點獲得流量的關(guān)鍵詞中有很多與本站點無關(guān)。
2、通過Site語法查詢站點，顯示搜索引擎收錄了大量非本站應(yīng)有的頁面。
注：site查詢結(jié)合一些常見的違規(guī)類關(guān)鍵字，可幫助站長更快的找到異常頁面
3、從百度搜索結(jié)果中點擊站點頁面，跳轉(zhuǎn)到了其他站點。
4、站點內(nèi)容在搜索結(jié)果中被提示存在風(fēng)險。
5、從搜索引擎帶來的流量短時間內(nèi)異常暴增。
如何判斷被黑和被黑處理方法
二.被黑處理方法
1、立即停止服務(wù)，避免用戶繼續(xù)受影響，防止繼續(xù)影響其他站點(建議使用503返回碼)。
2、如果同一主機(jī)提供商同期內(nèi)有多個站點被黑，您可以聯(lián)系主機(jī)提供商，敦促對方做出應(yīng)對。
3、清理已發(fā)現(xiàn)的被黑內(nèi)容，將被黑頁面設(shè)置為404死鏈，并通過百度站長平臺“死鏈提交工具”進(jìn)行提交。
4、排查出可能的被黑時間，和服務(wù)器上的文件修改時間相比對，處理掉上傳、修改過的文件;檢查服務(wù)器中的用戶管理設(shè)置，確認(rèn)是否存在異常的變化;更改服務(wù)器的用戶訪問密碼。
注：可以從訪問日志中，確定可能的被黑時間。不過可能也修改服務(wù)器的訪問日志。
5、做好安全工作，排查存在的漏洞，防止再次被黑。
后覺得防治防治，防大于治，平時要做好的文件備份與數(shù)據(jù)庫備份，即使被黑了，也不用擔(dān)心，可以東山再起，建議一個星期備份一次，不要怕麻煩，如果真沒有備份，到時候后悔都來不及。

首先我們會對當(dāng)前服務(wù)器的IP，以及IP的地址，linux服務(wù)器名稱，服務(wù)器的版本是centos,還是redhat，服務(wù)器的當(dāng)前時間，進(jìn)行收集并記錄到一個txt文檔里，接下來再執(zhí)行下一步，對當(dāng)前服務(wù)器的異常網(wǎng)絡(luò)連接以及異常的系統(tǒng)進(jìn)程檢查，主要是通過netstat -an以及-antp命令來檢查服務(wù)器存在哪些異常的IP連接。并對連接的IP，進(jìn)行歸屬地查詢，如果是國外的IP，直接記錄當(dāng)前進(jìn)程的PID值，并自動將PID的所有信息記錄，查詢PID所在的linux文件地址，緊接著檢查當(dāng)前占用CPU大于百分之30的進(jìn)程，并檢查該進(jìn)程所在的文件夾。
要時刻保持備份，一旦發(fā)生中毒網(wǎng)站文件被篡改的問題直接先恢復(fù)備份，恢復(fù)正常訪問，以免遭到降權(quán)，要檢查近修改的文件，以及網(wǎng)站后臺登錄記錄看看有無可疑的IP，如果是單服務(wù)器的話，要檢查服務(wù)器中的所有網(wǎng)站看看可疑的腳本文件，檢查附件目錄有無腳本后綴的文件，也可以對訪問日志進(jìn)行溯源，就會查到蛛絲馬跡，主要的一點就是對程序代碼進(jìn)行安全審計，進(jìn)行網(wǎng)站漏洞修復(fù)，因為如果你光靠恢復(fù)備份來解決問題的話是治標(biāo)不治本的，因為漏洞是存在的，要找到問題的根本，如果對代碼不熟悉的話可以向網(wǎng)站漏洞修復(fù)公司尋求幫助，像SINESAFE，鷹盾安全，啟明星辰等都是對網(wǎng)站漏洞修復(fù)有著數(shù)十年的實戰(zhàn)安全防護(hù)經(jīng)驗。
http://mmsped.com