1、网站被黑主要有三个原因造成,如下图。
“2.服务器问题”以及“3.环境问题”出现的概率很少,主要讲讲“1.网站问题”。
2、网站存在后门通常有两方面造成的?
其一程序本身存在漏洞。
其二下载非官方程序,被植入漏洞。
3、如何查找后门?
当发现网站被黑,出现违规页面,不要及时清除掉。
可以利用生成违规页面的“创建时间”,来寻找网站内存在的,木马程序。
举例:网站出现了违规页面40000.html,文件创建时间是“2021-04-10”。
如果你的服务器是window系统,可以通过系统自带搜索来查找相关木马文件。
01.*.php 修改日期:2021/4/10
02.//*代表所有 查询所有php后缀文件,2021年4月10日生成的 .php可改成其他程序后缀,如.asp .jsp
如果是linux系统
01. find /www/ -name '*.php' -newermt '2021-04-10' ! -newermt '2021-04-11'
02.//查找www目录下后缀为.php创建于2021年4月10日至2021年4月11日的所有程序文件 *.php可以改成其他程序
如果存在木马文件,基本就会搜索到一个或多个,到这一步还没有结束,请不要删除木马程序。
这仅仅找到了木马程序,并没有找到后门漏洞,如果黑手植入多个后门呢。
4、寻找网站后门漏洞和其余的木马程序
黑客发现一个网站,就等于发现新大陆,不可能只留一个后门程序的,基本会留下多个文件不同目录,不同不同深度,这要怎么寻找呢?
需要两样东西,一个是通过上述手段搜索的木马程序文件名称,另一个则是网站log日志文件。
(为什么不用木马文件时间呢?木马文件创建时间能搜索到别的木马程序,但是找不到网站存在的后门漏洞。)
通过木马程序文件名(举例:ad7ad456.php),在日志中寻找访问这个木马文件的IP(举例:125.79.18.82),通过IP在查找此IP都访问过了那些文件,通常第一个文件便是网站存在漏洞的文件,其余的便是植入木马文件。
01. /mamber/user.php
02./images/aadad.php
03. /news/asd789a4d9.php
04. /p1us/ad7ad456.php
这回可以删除所生成的违规页面,以及黑客留下的多个木马程序。
后门文件如果是开源产品,可以去百度搜索“XXXcms /mamber/user.php 漏洞修复”,即可找到答案,如果是原创开发的程序请找技术人员。
注意:有些人把log日志关闭了,理由是占用空间大,其实以nginx为例子,可以可以不记录静态资源日志记录和蜘蛛访问记录,只记录动态程序记录。可以使用系统自带计划任务,打包清理老的日志文件的。
5、处理完被黑页面后,如何操作,百度何时恢复排名?
5.1 统计死链接提交给百度“死链接提交”。
5.2 robots.txt 屏蔽死链接。
关于何时恢复排名,这个很久,需要百度对你长期观察。快了几个周几个月不等,慢了需要好久,毕竟如果能短期恢复,有些站长恶意效仿怎么办,这种惩罚很严重,多多输出原创内容提升百度对自己网站的认识度。