電腦網頁被篡改了怎麼恢復（網站被惡意攻擊了怎麼辦）

2023-09-19 09:01:45

　　網站被篡改的情況多出現於企業官網，且做了百度競價的一些網站。而且直接訪問網站時，不易發現問題，但通過百度訪問會發現跳轉到了違法內容的連結。再通過百度搜尋官網會發現搜尋結果中網站的Title、Description都已經被篡改。

　　這類行為的目的就是通過這些受害網站獲得排名並跳轉到違法網站，達到不法的目的。對於企業來說不但損失了百度競價的費用，還對企業形象造成很大的影響。甚至直接導致網站被空間商關閉或被有關機構刪除。

　　那遇到這種情況該怎麼解決了？這就要具體分析原因了。以下我們介紹的每一步都很關鍵，這也是我們錦技運維服務在這麼多年服務過的客戶後，總結出來的經驗。

　　第一步，先臨時恢復首頁：

　　我們發現這種情況都有個共同點，就是網站首頁給篡改了，如果原先首頁為動態檔案的話，則會被刪除，然後替換成了一個靜態檔案，比如html或htm格式的index或default檔案。Title、Description改成了Unicode編碼，使用者看不見具體內容，但搜尋引擎會解釋成文字，這也是為什麼搜尋看到網站結果是被篡改後的內容。而且加入了一些Js，會判斷凡是通過百度會的訪問就會做跳轉。

　　首先我們刪掉該被篡改的檔案，從備份中恢復首頁檔案。注意，這只是第一步，是臨時先恢復首頁的方法，因為沒多久後，這個檔案又會被替換和篡改掉。不管怎麼樣，先把網站的門面給恢復。包括之後的操作中，也要隨時注意首頁的恢復，不要不耐煩，一旦發現被篡改，就先馬上恢復首頁再說。

　　第二步，比對全站程式碼：

　　首先自己手上得有一套完整的網站備份，特別是程式碼的備份。直接登入伺服器或FTP連結到網站目錄，比對各目錄和檔案與備份的目錄和檔案的差異。注意，必須細化到每個目錄，不論目錄層次多深，逐一比對。有時候會發現一些奇怪的檔名，比如PHP寫的網站會出現ASP副檔名的檔案，上傳目錄中會出現動態檔案，一些藏得很深的目錄中出現了不該有的檔案。可以採用一些小技巧加快排查速度，比如通過檔案更新時間排序。如果能遠端登入伺服器的話，這個工作可以藉助一些檔案比對工具來做輔助。把所有發現的可疑檔案刪除，或者改掉檔名。

　　如果你有興趣的話，可以開啟這些檔案的程式碼，一般能查到明文的密碼，通過網址訪問這些檔案，輸入密碼後會發現是個可以操控整臺伺服器的指令碼，甚至可以執行Dos命令，訪問各碟符各目錄，任意在系統中植入和刪除檔案。

　　這第二步會花費很長時間，其實主要就是細心，不漏過一點蛛絲馬跡。

　　第三步，分析訪問日誌：

　　部分虛擬主機空間商能提供訪問日誌，或者雲主機自己配置web service記錄每天的訪問。通過訪問日誌，檢視最近有沒有訪問比較奇怪的目錄和檔案，並且這些奇怪的檔案來自哪些IP。通過這種方式反查到伺服器中存在的惡意檔案。

　　但有時候會發現一個奇怪的現象，通過FTP或雲主機目錄中看不到這個檔案，即使開啟檢視隱藏檔案的選項仍然檢視不到，但通過網站卻能訪問到該檔案。遇到這種情況，雲主機的話，通過Dos命令能查詢到並刪除該檔案。虛擬主機的話比較麻煩，可以聯絡空間商，或者通過一些手段先上傳一個同名的可檢視檔案，會覆蓋掉隱藏檔案，然後再刪除。如果遇到許可權等原因無法刪除的情況，聯絡空間商處理有時候更快捷。

　　通過訪問日誌，還能分析來自哪個IP或哪些IP經常訪問這些惡意植入的檔案，可以先遮蔽掉這些IP或IP網段。記得將來取消遮蔽，特別是遮蔽網段的情況下。

　　第四步，尋找漏洞：

　　接下去，我們需要尋找造成這種問題的原因。否則不解決原因，以上問題還是會持續發生。

　　首先是伺服器漏洞，這對於雲主機來說是需要重點考慮的，這工作其實應該平時日常就要做好，而不是出了問題再做。記得定期更新補丁，再安裝防火牆，有條件的話安裝企業級的商業版防火牆，沒條件的話用免費版的個人防火牆也可以，再不行，總得開啟win系統自帶的防火牆吧。當然配置好自動定時更新，還有配置好一旦發現病毒的自動處理邏輯即可。

　　（我們遇到過一個國企大客戶，他們的一臺最主要的雲主機，居然3年多沒有更新過補丁，也沒有安裝任何防火牆，直到伺服器上的多個網站被篡改了，系統被木馬搞的實在跑不動了才想到找我們解決。其實這事情是日常的工作，平時花不了多少功夫，但出了問題可就是大問題了。）

　　除了伺服器漏洞，還可能是網站程式碼漏洞或限制不嚴謹，這就關係到程式編寫人員的技術能力了，如果遇到這種情況，就需要和程式設計師一同尋找問題。程式邏輯是否有問題，是否有做檔案上傳限制等等。

　　環境配置引起的漏洞，這需要注意web service的配置，許可權是否配置不合理，網站目錄是否人為的設定了everyone或guest可寫許可權了。檔案上傳目錄不該給予執行許可權。

　　採用的第三方外掛漏洞，比如網站中常使用的富文字編輯器的漏洞也需要注意，有些編輯器不是拿來就能用的，得配置其中上傳功能，過濾掉不該上傳的檔案型別的檔名。還需要結合上面提到的，記得將檔案上傳目錄的執行許可權去掉。避免編輯器的目錄放置在根目錄，並且目錄名採用預設的。這樣漏洞直接就能被利用到。

　　（這裡提示一下，市場佔有率極高的某富文字編輯器在IIS環境下會出現漏洞，需要特別注意。）

　　第五步，其他合理配置：

　　後臺管理路徑不要使用容易被人猜測到的檔名或目錄名，比如admin。使用者名稱和密碼儘量設定複雜。FTP賬號和遠端管理賬號也是如此，如果FTP服務不使用，暫時先停止掉。網站使用的資料庫連結賬號，Mssql不要使用sa，Mysql不要使用root，為網站單獨建立賬號，限制賬號許可權，更改資料庫埠，禁止外鏈。關閉不需要的服務，關閉不需要的埠。結合防火牆進行配置，現在雲伺服器能直接配置安全策略，只開放使用的埠。如果需要經常外鏈方式管理伺服器，最好通過VPN組虛擬區域網加證書的形式。

　　第六步，觀察和反覆操作：

　　做好以上幾步工作後，接下去就是持續觀察了。如果首頁是否還被篡改，那說明網站中的惡意檔案還沒有清除乾淨，需要重複以上的多個環節，需要說明的是，只要一個惡意檔案沒有被清除，就會通過它引入幾十個甚至上百個惡意檔案的植入。所以耐心很重要，直到徹底清除乾淨，堵死所有漏洞清除所有惡意檔案為止。

　　（我們遇到過一個客戶的網站中被植入了幾千個木馬，而且居然沒有備份。我們的技術員只能手動一個個目錄檢視和分析，並且幾乎24小時待命隨時解決問題，最終花了一週半才徹底解決問題）。

　　總結：

　　以上我們寫的這六步是比較常見的操作手法，遇到不同案例肯定得不同分析，定製不同的解決方案和側重點，採用一些不同的小技巧。所以，沒有技術能力解決的情況下，推薦採購錦技運維服務，我們專業技術人員會為客戶提供服務，並且維護成本極低。