网站被黑是每个运维和开发人员都不愿面对，但又必须提前做好准备的事件。无论是因为漏洞、弱密码，还是第三方组件的安全问题，一旦网站被入侵，冷静、有条理地排查是挽回损失、防止二次攻击的关键。因此发现网站被入侵后，首先要做的事就是关停网站、保留现场，千万不要盲目修改删除文件以及日志。

要排查漏洞，我们首先需要明确黑客的入侵途径，以缩小排查范围。入侵网站主要有三条途径：篡改文件、篡改数据库、篡改服务器。常见的网站劫持、快照劫持、数据篡改、网站后门、网页木马、网站标题篡改等等，均属于这三条途径。

如何判断入侵途径呢？

很简单，如果是网站后门、网页木马、网站标题篡改、以及大部分网站劫持，均属于篡改文件途径。凡是黑客篡改了网站文件的入侵，都可以划归该途径。

如果是数据库被篡改了，则属于篡改数据库途径。例如账户余额、用户信息等被篡改。

也就是说篡改文件和篡改数据库，都能在网站内找到蛛丝马迹。对于不明显属于上述两条途径的，可以检查网站文件（尤其是首页文件、配置文件）和数据库的网站配置项，检查是否植入有恶意代码。

如果数据库和网站都没有恶意代码，那就是属于篡改服务器途径，例如快照劫持、非法内容页面一般属于该途径。

如果是篡改文件的入侵，一般是在线上传模块有漏洞、FTP密码泄露导致，极小可能是跨站入侵导致。如果是篡改数据库的入侵，一般是网站存在SQL注入漏洞导致。至于篡改服务器的入侵，可能原因就有点多了。

对于篡改文件的入侵，排查相对简单些，可以使用免费的 【护卫神.云查杀】 对网站进行扫描，找出网页木马和后门。而对于篡改数据库的入侵，处理起来非常麻烦，因为很难找出具体的入侵点，只有在海量的网站日志中寻找蛛丝马迹，很多时候还不一定有结果。对于篡改服务器的入侵，那就更难了，因为入侵服务器的途径太多了，网站漏洞、应用漏洞、系统漏洞都可能导致入侵。

因此如果不是强制要求，不建议排查漏洞。直接解决入侵问题会更好，成本更低。我们也不建议采用修复漏洞的方式来解决问题，该方式虽然听起来最有效，但实际执行时会非常困难；首先我们需要找出漏洞点，光这一点就够喝一壶的；然后是发现问题了怎么修复，这要求开发人员具有非常丰富的防护经验和开发实力；就算修复了漏洞，往往也会因为修复这个漏洞出现新的漏洞，你应该还没听说过没有漏洞的CMS系统吧。

如果有干净的备份文件，先通过备份恢复网站，然后部署必要的防护系统，工欲行其事，必先利其器。可以使用【护卫神.防入侵系统】，一站式解决所有安全问题。针对篡改数据库的入侵，通过注入防护模块，轻松搞定，还是对服务器所有网站都生效哟。针对篡改文件的入侵，使用篡改防护模块，一键定制各种CMS防护规则，防篡改的同时还没有副作用。针对篡改服务器的入侵，通过自动更新补丁模块，解决系统漏洞威胁；通过进程防护模块，解决应用漏洞威胁；通过WAF模块，解决网站漏洞威胁；通过远程防护模块，解决暴力破解威胁；通过木马防护模块，解决网页木马和后门的威胁。通过近百项安全模块，全方位保护服务器和网站，让您再无后顾之忧！

原文：https://www.hws.com/help/tech/1930.html