網(wǎng)站被篡改的情況多出現(xiàn)于企業(yè)官網(wǎng)，且做了百度競(jìng)價(jià)的一些網(wǎng)站。而且直接訪問網(wǎng)站時(shí)，不易發(fā)現(xiàn)問題，但通過百度訪問會(huì)發(fā)現(xiàn)跳轉(zhuǎn)到了違法內(nèi)容的鏈接。再通過百度搜索官網(wǎng)會(huì)發(fā)現(xiàn)搜索結(jié)果中網(wǎng)站的Title、Description都已經(jīng)被篡改。

　　這類行為的目的就是通過這些受害網(wǎng)站獲得排名并跳轉(zhuǎn)到違法網(wǎng)站，達(dá)到不法的目的。對(duì)于企業(yè)來說不但損失了百度競(jìng)價(jià)的費(fèi)用，還對(duì)企業(yè)形象造成很大的影響。甚至直接導(dǎo)致網(wǎng)站被空間商關(guān)閉或被有關(guān)機(jī)構(gòu)刪除。

　　那遇到這種情況該怎么解決了？這就要具體分析原因了。以下我們介紹的每一步都很關(guān)鍵，這也是我們錦技運(yùn)維服務(wù)在這么多年服務(wù)過的客戶后，總結(jié)出來的經(jīng)驗(yàn)。

　　第一步，先臨時(shí)恢復(fù)首頁：

　　我們發(fā)現(xiàn)這種情況都有個(gè)共同點(diǎn)，就是網(wǎng)站首頁給篡改了，如果原先首頁為動(dòng)態(tài)文件的話，則會(huì)被刪除，然后替換成了一個(gè)靜態(tài)文件，比如html或htm格式的index或default文件。Title、Description改成了Unicode編碼，用戶看不見具體內(nèi)容，但搜索引擎會(huì)解釋成文字，這也是為什么搜索看到網(wǎng)站結(jié)果是被篡改后的內(nèi)容。而且加入了一些Js，會(huì)判斷凡是通過百度會(huì)的訪問就會(huì)做跳轉(zhuǎn)。

　　首先我們刪掉該被篡改的文件，從備份中恢復(fù)首頁文件。注意，這只是第一步，是臨時(shí)先恢復(fù)首頁的方法，因?yàn)闆]多久后，這個(gè)文件又會(huì)被替換和篡改掉。不管怎么樣，先把網(wǎng)站的門面給恢復(fù)。包括之后的操作中，也要隨時(shí)注意首頁的恢復(fù)，不要不耐煩，一旦發(fā)現(xiàn)被篡改，就先馬上恢復(fù)首頁再說。

　　第二步，比對(duì)全站代碼：

　　首先自己手上得有一套完整的網(wǎng)站備份，特別是代碼的備份。直接登錄服務(wù)器或FTP鏈接到網(wǎng)站目錄，比對(duì)各目錄和文件與備份的目錄和文件的差異。注意，必須細(xì)化到每個(gè)目錄，不論目錄層次多深，逐一比對(duì)。有時(shí)候會(huì)發(fā)現(xiàn)一些奇怪的文件名，比如PHP寫的網(wǎng)站會(huì)出現(xiàn)ASP擴(kuò)展名的文件，上傳目錄中會(huì)出現(xiàn)動(dòng)態(tài)文件，一些藏得很深的目錄中出現(xiàn)了不該有的文件?？梢圆捎靡恍┬〖记杉涌炫挪樗俣龋热缤ㄟ^文件更新時(shí)間排序。如果能遠(yuǎn)程登錄服務(wù)器的話，這個(gè)工作可以借助一些文件比對(duì)工具來做輔助。把所有發(fā)現(xiàn)的可疑文件刪除，或者改掉文件名。

　　如果你有興趣的話，可以打開這些文件的代碼，一般能查到明文的密碼，通過網(wǎng)址訪問這些文件，輸入密碼后會(huì)發(fā)現(xiàn)是個(gè)可以操控整臺(tái)服務(wù)器的腳本，甚至可以執(zhí)行Dos命令，訪問各盤符各目錄，任意在系統(tǒng)中植入和刪除文件。

　　這第二步會(huì)花費(fèi)很長時(shí)間，其實(shí)主要就是細(xì)心，不漏過一點(diǎn)蛛絲馬跡。

　　第三步，分析訪問日志：

　　部分虛擬主機(jī)空間商能提供訪問日志，或者云主機(jī)自己配置web service記錄每天的訪問。通過訪問日志，查看最近有沒有訪問比較奇怪的目錄和文件，并且這些奇怪的文件來自哪些IP。通過這種方式反查到服務(wù)器中存在的惡意文件。

　　但有時(shí)候會(huì)發(fā)現(xiàn)一個(gè)奇怪的現(xiàn)象，通過FTP或云主機(jī)目錄中看不到這個(gè)文件，即使打開查看隱藏文件的選項(xiàng)仍然查看不到，但通過網(wǎng)站卻能訪問到該文件。遇到這種情況，云主機(jī)的話，通過Dos命令能查找到并刪除該文件。虛擬主機(jī)的話比較麻煩，可以聯(lián)系空間商，或者通過一些手段先上傳一個(gè)同名的可查看文件，會(huì)覆蓋掉隱藏文件，然后再刪除。如果遇到權(quán)限等原因無法刪除的情況，聯(lián)系空間商處理有時(shí)候更快捷。

　　通過訪問日志，還能分析來自哪個(gè)IP或哪些IP經(jīng)常訪問這些惡意植入的文件，可以先屏蔽掉這些IP或IP網(wǎng)段。記得將來取消屏蔽，特別是屏蔽網(wǎng)段的情況下。

　　第四步，尋找漏洞：

　　接下去，我們需要尋找造成這種問題的原因。否則不解決原因，以上問題還是會(huì)持續(xù)發(fā)生。

　　首先是服務(wù)器漏洞，這對(duì)于云主機(jī)來說是需要重點(diǎn)考慮的，這工作其實(shí)應(yīng)該平時(shí)日常就要做好，而不是出了問題再做。記得定期更新補(bǔ)丁，再安裝防火墻，有條件的話安裝企業(yè)級(jí)的商業(yè)版防火墻，沒條件的話用免費(fèi)版的個(gè)人防火墻也可以，再不行，總得開啟win系統(tǒng)自帶的防火墻吧。當(dāng)然配置好自動(dòng)定時(shí)更新，還有配置好一旦發(fā)現(xiàn)病毒的自動(dòng)處理邏輯即可。

　　（我們遇到過一個(gè)國企大客戶，他們的一臺(tái)最主要的云主機(jī)，居然3年多沒有更新過補(bǔ)丁，也沒有安裝任何防火墻，直到服務(wù)器上的多個(gè)網(wǎng)站被篡改了，系統(tǒng)被木馬搞的實(shí)在跑不動(dòng)了才想到找我們解決。其實(shí)這事情是日常的工作，平時(shí)花不了多少功夫，但出了問題可就是大問題了。）

　　除了服務(wù)器漏洞，還可能是網(wǎng)站代碼漏洞或限制不嚴(yán)謹(jǐn)，這就關(guān)系到程序編寫人員的技術(shù)能力了，如果遇到這種情況，就需要和程序員一同尋找問題。程序邏輯是否有問題，是否有做文件上傳限制等等。

　　環(huán)境配置引起的漏洞，這需要注意web service的配置，權(quán)限是否配置不合理，網(wǎng)站目錄是否人為的設(shè)置了everyone或guest可寫權(quán)限了。文件上傳目錄不該給予執(zhí)行權(quán)限。

　　采用的第三方插件漏洞，比如網(wǎng)站中常使用的富文本編輯器的漏洞也需要注意，有些編輯器不是拿來就能用的，得配置其中上傳功能，過濾掉不該上傳的文件類型的文件名。還需要結(jié)合上面提到的，記得將文件上傳目錄的執(zhí)行權(quán)限去掉。避免編輯器的目錄放置在根目錄，并且目錄名采用默認(rèn)的。這樣漏洞直接就能被利用到。

　?。ㄟ@里提示一下，市場(chǎng)占有率極高的某富文本編輯器在IIS環(huán)境下會(huì)出現(xiàn)漏洞，需要特別注意。）

　　第五步，其他合理配置：

　　后臺(tái)管理路徑不要使用容易被人猜測(cè)到的文件名或目錄名，比如admin。用戶名和密碼盡量設(shè)置復(fù)雜。FTP賬號(hào)和遠(yuǎn)程管理賬號(hào)也是如此，如果FTP服務(wù)不使用，暫時(shí)先停止掉。網(wǎng)站使用的數(shù)據(jù)庫鏈接賬號(hào)，Mssql不要使用sa，Mysql不要使用root，為網(wǎng)站單獨(dú)創(chuàng)建賬號(hào)，限制賬號(hào)權(quán)限，更改數(shù)據(jù)庫端口，禁止外鏈。關(guān)閉不需要的服務(wù)，關(guān)閉不需要的端口。結(jié)合防火墻進(jìn)行配置，現(xiàn)在云服務(wù)器能直接配置安全策略，只開放使用的端口。如果需要經(jīng)常外鏈方式管理服務(wù)器，最好通過VPN組虛擬局域網(wǎng)加證書的形式。

　　第六步，觀察和反復(fù)操作：

　　做好以上幾步工作后，接下去就是持續(xù)觀察了。如果首頁是否還被篡改，那說明網(wǎng)站中的惡意文件還沒有清除干凈，需要重復(fù)以上的多個(gè)環(huán)節(jié)，需要說明的是，只要一個(gè)惡意文件沒有被清除，就會(huì)通過它引入幾十個(gè)甚至上百個(gè)惡意文件的植入。所以耐心很重要，直到徹底清除干凈，堵死所有漏洞清除所有惡意文件為止。

　?。ㄎ覀冇龅竭^一個(gè)客戶的網(wǎng)站中被植入了幾千個(gè)木馬，而且居然沒有備份。我們的技術(shù)員只能手動(dòng)一個(gè)個(gè)目錄查看和分析，并且?guī)缀?4小時(shí)待命隨時(shí)解決問題，最終花了一周半才徹底解決問題）。

　　總結(jié)：

　　以上我們寫的這六步是比較常見的操作手法，遇到不同案例肯定得不同分析，定制不同的解決方案和側(cè)重點(diǎn)，采用一些不同的小技巧。所以，沒有技術(shù)能力解決的情況下，推薦采購錦技運(yùn)維服務(wù)，我們專業(yè)技術(shù)人員會(huì)為客戶提供服務(wù)，并且維護(hù)成本極低。