那為什么網站會被中毒，先網站用的程序源碼開源的話肯定是很多漏洞的，像DEDECMS或帝國CMS以及phpcmsV9，WP程序等等，程序代碼中的上傳功能或后臺越權以及跨站攻擊導致網站被入侵的占大多數，有的就是網站的后臺賬戶和密碼太簡單了，因為建站公司交接過來的時候，就沒有再更改過，導致被用弱密碼直接登錄篡改，還有一種就是用的單服務器，ASPX架構的網站用win2008 win2012 win2016系統的IIS環境，本身aspx的權限就大，導致服務器中的某一個站點被入侵就會牽連到所有的網站。
首先我們會對當前服務器的IP，以及IP的地址，linux服務器名稱，服務器的版本是centos,還是redhat，服務器的當前時間，進行收集并記錄到一個txt文檔里，接下來再執行下一步，對當前服務器的異常網絡連接以及異常的系統進程檢查，主要是通過netstat -an以及-antp命令來檢查服務器存在哪些異常的IP連接。并對連接的IP，進行歸屬地查詢，如果是國外的IP，直接記錄當前進程的PID值，并自動將PID的所有信息記錄，查詢PID所在的linux文件地址，緊接著檢查當前占用CPU大于百分之30的進程，并檢查該進程所在的文件夾。

一.被黑的狀況分析
1.客戶的采用的是，織夢DEDECMS系統（PHP+MYSQL數據庫架構）,dedecms漏洞在近幾年實在是爆出了太多,但是現在用dedecms做以及平臺的也很多,一般企業站或做優化排名的都是用這個織夢的程序來做,優化快,訪問速度也快,全站可以靜態文件生成，方便管理更新文章，
也方便打開的速度，以及關鍵詞方面的優化與提升。通過與客戶的溝通了解，發現客戶的，只要是發布新的文章，并在后臺生成新的html頁面，或者生成首頁index.html,就會被攻擊者直接增加了一些加密的代碼與dubo的內容,圖片如下：
被篡改的內容都是加了一些與不相關的內容,而且這個代碼還做了JS判斷跳轉，針對于Baidu搜索來的客戶，會直接跳轉到這個垃圾頁面，導致360提示,百度提示風險的圖片如下：
在百度的搜索中會直接風險提示：百度網址安全中心提醒你：該頁面可能存在木馬病毒。通過對客戶的所有代碼的安全檢測與代碼的人工安全審計，發現首頁index.html中的內容被篡改，并發現在dedecms模板目錄文件下的index.htm文件也被篡改了。
我們來打開index.htm模板文件，看下代碼：
下面的這一段代碼是加密的JS跳轉代碼，是根據百度搜索等相應的條件，進行判斷，然后跳轉，直接輸入域名不會跳轉。
上面查到一些加密的代碼，用編碼的解密查到，是一些bocai相關的內容，我們把生成首頁后被篡改的內容直接掉，然后對其里留存下來的木馬病毒，以及木馬后門進行清除，并做好的漏洞檢測與漏洞修復，部署防篡改方案。
二.被黑的清理過程記錄
1.經過SINE安全技術的安全審計后，在安全的處理過程中發現根目錄下的datas.php文件內容屬于assert類型的一句話木馬。那么既然發現有一句話木馬，那肯定是存在PHP腳本木馬的，隨即發現在css目錄下有個文件是base64加密的代碼,我們訪問該木馬地址，進行了訪問發現的確是木馬病毒的，所在圖片如下：
該PHP腳本木馬的操作權限實在是太大了,對文件的編輯以及改名，以及執行惡意的sql語句，查看服務器的系統信息都可以看的很清楚.對的所有程序代碼，進行了木馬特征掃描，發現了N個木馬文件,怪不得客戶自己說反反復復的出現被黑，被篡改的都快要了。掃描到的木馬病毒如下圖所示：
這么多個腳本木馬后門，我們安全技術直接進行了全部清理,由于客戶用的是單的服務器。那么對服務器的安全也要進行詳細的安全加固和安全防護,查看到的mysql數據庫，分配給使用的是root權限，（用root管理員權限會導致整個服務器都會被黑，增加了攻擊風險）我們給客戶服務器增加了一個普通權限的數據庫賬戶分配給，數據庫的端口3306以及135端口445端口139端口都進行了端口安全策略部署，杜絕外網一切連接，只允許內網連接，對服務器進行了詳細的服務器安全設置和部署，后續我們對的所有文件，代碼，圖片，數據庫里的內容，進行了詳細的安全檢測與對比，從SQL注入測試、XSS跨站安全測試、表單繞過、文件上傳漏洞測試、文件包含漏洞檢測、網頁掛馬、網頁后門木馬檢測、包括一句話小馬、aspx大馬、腳本木馬后門、敏感信息泄露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進行了全面的安全檢測，與漏洞修復，至此客戶被黑的問題才得以的解決。因為之前客戶都是平均被篡改兩三次，從做署到今天20號，客戶訪問一切正常，沒有被篡改。
三.針對于被黑的防護建議
1.定期的更新服務器系統漏洞（windows 2008 2012、linux centos系統），系統升級，盡量不適用第三方的API插件代碼。
2.如果自己對程序代碼不是太了解的話，建議找安全公司去修復的漏洞，以及代碼的安全檢測與木馬后門清除，國內推薦SINE安全公司、綠盟安全公司、啟明星辰等的安全公司，做深入的安全服務,來**的安全穩定運行，防止被掛馬之類的安全問題。
3.盡量不要把的后臺用戶的密碼設置的太簡單化,要符合10到18位的大小寫字母+數字+符號組合。
4.后臺管理的路徑一定不能用默認的admin或guanli或manage 或文件名為admin.asp的路徑去訪問。
5.服務器的基礎安全設置必須要詳細的做好,端口的安全策略，注冊表安全，底層系統的安全加固，否則服務器不安全,再安全也沒用。

網站被攻擊百度快照遭到劫持怎么辦？
上述特點有兩個重要問題。
1.客戶粗心。
俗話說得好：“事情出變不離其宗”，網站一開始出現內容被篡改的情況，沒引起警覺，覺得換回就可以了，殊不知能被劫持一次，網站的安全保護意識很低。
2.網站或服務器有漏洞。
攻擊的方式天天更新，世界上也不存在沒有任何漏洞的軟件，只是發現早或晚。還沒找到我們之前，很多客戶都認為在服務器上安裝一個安全保護軟件是安全的。熟人不知道真正的保護程度也許只有50%，也許大多數的原因是心理安慰。安全性本身是個不斷討論的話題，安全服務本身就是一項不可能一勞永逸的服務。

1、定期的做安全測試，檢測修復漏洞。這是必不可少的。畢竟大多數的入侵都是從漏洞侵入的。
2、選擇具備防攻擊的高防服務器替代掉普通的服務器，服務器有好有壞，我們在選擇時，應盡量選擇具備防攻擊，防入侵的安全性能較高的高防服務器，這樣的話在使用和管理上也會更放心一些。
3、一旦在服務器上了來路不明的應用程序，在時和初次使用時，覺得不對勁，應該及時，并進行服務器的安全檢測。
4、定期做好殺毒工作，有些網絡來源于在使用服務器時的一些插件或者加載程序上的。可以殺毒軟件，定期做好殺毒工作。這樣也可以降低風險。
網站被黑不可怕，選擇好具備安全性能較好的高防服務器后，并在日常做好正常的安全維護工作，基本上被黑的幾率是不高的。一旦發現網站被黑，及時聯系相關技術人員處理好，也不會為網站帶來太大的損失的。
要時刻保持備份，一旦發生中毒網站文件被篡改的問題直接先恢復備份，恢復正常訪問，以免遭到降權，要檢查近修改的文件，以及網站后臺登錄記錄看看有無可疑的IP，如果是單服務器的話，要檢查服務器中的所有網站看看可疑的腳本文件，檢查附件目錄有無腳本后綴的文件，也可以對訪問日志進行溯源，就會查到蛛絲馬跡，主要的一點就是對程序代碼進行安全審計，進行網站漏洞修復，因為如果你光靠恢復備份來解決問題的話是治標不治本的，因為漏洞是存在的，要找到問題的根本，如果對代碼不熟悉的話可以向網站漏洞修復公司尋求幫助，像SINESAFE，鷹盾安全，啟明星辰等都是對網站漏洞修復有著數十年的實戰安全防護經驗。
http://4koz.com