如何检查网站是否被黑

如果您的网站被黑客攻击,导致网站无法打开,网站被跳转到其他网站,网站代码被植入恶意链接等攻击症状,您可以参考以下步骤对网站进行安全检查。

 1.检查服务器是否存在木马后门文件

 Windows系统用户在系统任务管理器时会看到异常进程。这种过程的过程名称通常不符合英语语法习惯、计算机来命名习惯,或者具有随机字符串的特征。

 过程名称不符合英语语法习惯,如eeosec.exe

 过程名都是数字,比如117466363.exe

 过程名在某种意义上是随机的,比如lkdhpec.exe

 进程的名称具有明显的中国特色,如muma.exe

服务器的CPU处理器使用状态呈现非常平滑的直线,并且CPU处理器使用率保持在高水平。

 Linux系统可以检查/usr/bin/dpkgd目录中是否有ps、ss、lsof、netstat文件。

 上如果发现有上述情况的发生,基本上可以确认您的服务器已经被黑客攻击并植入了木马后门到进程里。

 建议您找专业的网站安全公司对服务器进行全面的安全检查,检查网站漏洞并删除木马后门。使用阿里云的回滚快照并不能解决当前的问题,恢复网站备份文件也是一样解决不了问题的,因为该漏洞还是一直存在的,黑客仍然很可能通过该漏洞重复对网站进行攻击。

 2.检查网站的后门

 当您收到阿里云提醒您的服务器存在网站后门的邮件或手机短信的时候,这表示您的服务器已被黑客入侵并上传了网站后门文件webshell。黑客可以操作你网站或数据库的数据,并可以篡改代码。

 可以通过阿里云安全中心隔离后门文件,但网站被上传后门文件的具体原因仍需进一步的对网站代码漏洞进行检查与修复,查找漏洞根源,否则黑客仍将通过漏洞攻击网站。

 如果您需要检查漏洞,可以进一步咨询一些国内比较有名的网站安全公司,像SINE安全,绿盟,启明星辰,鹰盾安全,深信服,都是国内比较专业的。

 3.检查网站是否被阻止、被挂马或有非法页面

 如果阿里云的云盾内容安全提示您的网站存在非法页面(BC,X站,QP),此类页面被阻止,或者您的网站页面存在异常和未经授权访问的界面,您可以首先检查您的网站首页代码。找出这些网址指向的页面文件的位置,检查文件代码,并确定它们是自己编写的还是自己自动生成的。如果没有,基本上可以确定您的服务器,网站已经被黑客攻击,并被植入恶意非法页面或代码。对于这种网站攻击问题,您可以手动清除这些页面或恶意代码。这表明这种类型的入侵是由非服务器安全问题引起的,如业务系统、代码逻辑或网站的数据库漏洞,都可能导致网站被挂马,被植入恶意内容。为了彻底解决这些问题,您可以找专业的网站安全公司进行解决。

 4.检查登录服务器的源IP

 当云安全中心提示远程登录和黑客登录时,建议您检查登录服务器的源IP是否正常。正常源IP包括内部人员所在区域的登录IP、外部临时登录服务器中使用的外部IP、使用虚拟专用网和虚拟专用网的登录IP等。如果不是这种情况,建议您修改登录密码,并使用10位以上的强密码,包括大写字母和小写字母以及特殊字符。同时,要观察阿里云安全中心是否会提示远程登录、黑客登录等一些安全提示。

分享: