网站被黑了你们都是怎么做的？

以下是我这几年的经验总结，只说免费方案：

一.干掉源头

确认你的程序是在网上下载的还是熟人做的，如果是网上下载的，你在上线前尽可能用安全工具把代码扫一遍，看有没有后门，这种工具市面上免费的有好几个，比如：D盾等。如果是找人开发的，一般人没问题的话，扫描这一步可做可不做，但是你可以对他的技术安全方面提出质疑，因为国内的很多技术对渗透完全不懂，即使做了五六年，也是那样。所以在安全未知的情况下，你应该做好防护，上waf防火墙。免费动物产品有：宝塔的nginx过滤器，D盾等

二.干掉症状

如果你的项目已经上线了，在使用一段时间后被黑了，你就要分情况解决。

a.如果是数据被删，这种最致命，只如果你自己有备份还好，如果没有，你就只能重来，要么交钱。

b.页面被改，乱码，有博彩信息，涉黄信息，黑链等非法信息，删除后过段时间又出现，这种情况往往出现在cms系统，企业展示站上，dedecms，帝国是高发系统，如果出现此种情况请按以下方法即可解决。

1.先把自己能确认的非法信息全部删除，在用第一步中的工具扫描代码,删除木马，删除完后开启waf，过滤用户参数。注：删代码需要有识别能力，确认代码属于自带还是被黑后增加的。

2.如果上面步骤完了，过段时间再次出现，说明后门没有删完，这种情况下，请再一次上面的步骤删除非法信息，然后清空删除你服务器的访问日志，等黑客上钩，等到状态再次出现时，你只要把日志下载下来进行分析，找到后门删除即可。

日志分析工具：apache log view，虽然名字带apache，但也支持nginx日志，此工具可以购买支持，网上也有破解版

筛选请求日志，找到木马：找到请求状态为200即请求成功的可执行文件，如php jsp 等。切记只要刷选请求成功的即可，那些40*的都是那些黑客扫漏洞产生的日志

筛选日志后，找熟悉系统代码的人依次确认哪些代码不是系统的，删除即可，往往这些后门很容易确认。

删除后门后，记得打上waf，这样一般就没大问题了，但是上了waf后往往会出现误拦截的情况，需要你对路径做白名单了。

对于一些不具备网站运营的新手来说，网站一旦被挂上黑链，就会担心网站排名受到影响，但又找不到原因。那么，应该如何有效的防止网站被挂上黑链呢？

1、要做到定期检查网站的源代码

黑链一般都挂在网站首页的源代码中，但也有些黑链会挂在网站的首页中，这样会增加一些难度，需要网站运营人员经常查看网站的源代码，在网站文字位置点击鼠标右键，在弹出的菜单中点击“查看原文件”就可以了。如果网站设置了禁止右键点击，可以通过下载一些比较好用的浏览器来查看源代码。

2、使用站长工具检查黑链、死链

作为网站运营人员，应该定期使用站长工具来检查网站的死链、黑链。站长工具都有查看网站页面的功能，可以查看网站所有页面的链接。这个工具既可以查看网站中的链接是否可以访问，还可以显示出网站页面中所有的链接，当发现有未知链接的时候，就有可能是黑链，需要马上删除此链接。

3、查看网站文件的最后修改时间

这一点对于很多网站运营人员来说要做到都是比较困难的。但是如果习惯查看网站记录，其实是很容易看出来的。作为网站运营人员，要记录好对网站做了哪些修改。在网站中，每一个文件都有最后的修改时间，如果没有修改时间，系统就会按照文件的穿件时间来显示。如果突然看到某个文件的修改时间变成了与现在时间相近，这个文件就有可能被人动了手脚，被修改了文件源代码、挂了黑链，最好把这个文件下载到本地，详细查看一下文件源代码中有没有挂黑链的痕迹。

4、更换网站FTP用户名与密码

对于网站被挂了黑链，很多情况都是因为给你网站挂黑链的人使用了非法手段取得了网站的FTP密码。特别是网站FTP密码设置的非常简单的时候，最容易被入侵。在设置的时候要尽量复杂一些，大写、小写、标点符号相结合的密码，这样就会更安全一些，不要等到被挂了黑链才想起来修改密码，这样就已经晚了。在处理完黑链之后也要及时修改密码。

5、确定是网站被挂还是服务器被挂

可能有很多网站运营者不知道，在站长工具中有一个可以查看同IP下的站点。很多情况下，也有可能是网站服务器被挂上了黑链。这个时候就需要使用站长工具中“同IP站点查询”功能查看和网站相同服务器的网站，如果你的网站被挂上了黑链，同一IP下的所有网站都有可能被黑链入侵，这就判定的是服务器安全问题，而不是网站程序代码的漏洞问题，需要马上联系服务器提供商来解决安全问题。

1、查看网站页面源码，是否存在与网站内容无关的链接、乱码和文字。

2、登录FTP，查看文件被修改的时间（静态页面除外），是否自己在文件被修改时间段执行过操作？

3、通过各种检测木马的程序检测。

4、按时做网站备份