你打开自己的网站,看到的不再是你熟悉的页面,而是博彩广告,或者一行“Hacked by XXX”。你心跳加速。你的网站被篡改了。很可能不只是首页。黑客改了首页,说明他已经拿到了你服务器的某种权限。你不清干净,他会再回来。
今天给你一套应急处理流程。按顺序做,不会乱。
先看一个数据
在排查网站被篡改事件时,大多数案例都能在服务器上找到后门文件。这些后门文件通常隐藏在图片上传目录中,或伪装成正常文件名。有时会以加密形式绕过检测。
更重要的是,攻击者通常会留多个后门。你只清理一个,另一个还在。
第一步:关站,隔离
先做这件事:把网站关掉。 不要让用户继续看到被篡改的页面,也不要在被入侵的服务器上过度操作,避免触发攻击者的后门或删除日志。
操作:
- Nginx:把站点目录指向一个空白页,或返回503状态码
- 或者直接改掉网站目录名,用户访问会报错,但不会看到被篡改的内容
- 你需要在用户看到恶意内容之前把它藏起来
第二步:备份现场
不要急着删东西。 被篡改的文件是线索。攻击者留下的webshell、日志片段、后门文件,都是追查入口的关键证据。
操作:
- 把整个网站目录打包:
tar -czf hacked_backup.tar.gz /var/www/html - 把Web访问日志、错误日志、系统认证日志(
/var/log/auth.log)也一并备份 - 复制一份到另一个位置或本地机器,避免后续操作覆盖关键信息
先把现场保护起来,再去排查。
第三步:找被改了什么
目标:找出哪些文件被篡改了,哪些文件是攻击者新上传的。
检查最近修改的文件:
bash
# 过去24小时被修改过的文件 find /var/www/html -type f -mtime -1 # 过去7天的,帮助你找到篡改发生的时间点 find /var/www/html -type f -mtime -7
检查可疑的PHP文件:
bash
grep -r --include="*.php" -E "(eval|base64_decode|assert|system|exec|shell_exec|passthru|gzinflate|str_rot13|edoced_46esab)" /var/www/html
检查上传目录:
bash
# 上传目录里不应该有PHP文件 find /var/www/html/uploads -name "*.php" -type f
检查隐藏文件:
bash
# .开头的是隐藏文件,黑客有时会藏在这里 ls -la /var/www/html/.xxx
检查.htaccess文件:
bash
cat /var/www/html/.htaccess
这个文件有可能被改成了恶意跳转规则。把篡改的文件记录下来,把新上传的后门文件也记下来。
第四步:从干净的备份恢复
删除被篡改的文件。但如果你从备份恢复,需要确认备份是干净的——在篡改发生之前就备份了。如果你无法确定,重装核心程序后再导入数据会更安全。
操作:
- 删除网站目录下所有文件(只保留数据库配置)
- 从官方渠道下载最新版本的程序包(WordPress、织梦、帝国CMS等),重新安装覆盖,再把主题、插件、上传文件搬回去
- 如果之前有干净的备份(确认过没被黑),直接从备份恢复
- 恢复后尽快修改所有密码
第五步:封堵漏洞,防止再被入侵
恢复干净文件后,还要封堵攻击者进来的路径。如果不解决根本原因,同样的漏洞还会被再次利用。
检查项清单:
- 检查
/var/spool/cron/、/etc/crontab、/etc/cron.d/中是否有异常定时任务,防止攻击者通过定时任务自动恢复后门 - 检查
/root/.ssh/authorized_keys是否有不认识的公钥 - 检查
/etc/passwd是否多出用户 - 检查
/etc/sudoers是否有提权配置 - 如果无法确定漏洞来源,或业务已不再依赖旧版本的程序,考虑重新安装操作系统
如果之前设置了网站后台登录地址的.htaccess密码,修改新密码即可。
第六步:向搜索引擎申请解封
如果你的网站被谷歌或百度标记了“不安全”,清理完后要主动申请重新审核。
谷歌:Google Search Console → 安全与手动操作 → 安全问题 → 申请审核,通常需要几天时间
百度:百度站长平台 → 安全检测 → 申请重新检测
真实案例
一个WordPress网站首页被篡改,跳转到博彩网站。备份现场后发现/uploads目录下有一个wp-functions.php文件,不在核心版本中。访问日志显示攻击者通过一个过期的插件漏洞上传了这个文件。删除后门文件,恢复干净备份,升级所有插件和主题,重新启用后未再复发。
最后一句
网站被篡改的过程通常是这样的:攻击者利用漏洞上传后门→修改首页或挂暗链→留下备用后门→等待你发现。你的处理策略也对应着这个链条:关站隔离、分析现场、修复文件、加固系统。做完这4件事,才算真正“处理完一次被黑事件”。
这个过程需要冷静,也需要执行。希望这篇指南能帮你从容应对被黑事件。