网站被黑问题简答及处理办法-搜狗官方回应

yun

什么是网站“被黑”？

• 网站被黑，是指黑客利用网站的程序、设置等方面的安全漏洞或管理员安全疏忽（如密码复杂度低），未经管理员授权，对网站进行了篡改（例如添加垃圾内容或者添加其他网页）或者向网站注入恶意代码等。
  

如何知道是否“被黑”？

• 分析系统日志、服务器日志，检查自己站点的页面数量、流量等是否有异常波动，是否存在异常访问或操作日志
• 检查网站文件是否有不正常的修改，尤其是首页等重点页面。
• 网站页面是否引用了未知站点的资源（图片、JS等），是否被放置了外站的异常链接。
• 检查网站是否有不正常增加的文件或目录。
• 检查网站目录中是否有非管理员打包的网站源码、未知txt文件等。
  

如何处理“被黑”？

步骤一避免问题扩大
• 立即关停自己的网站以避免感染其他网站（如果您有权访问自己的服务器则最好将其配置为返回503状态代码）。
• 与自己的网络托管商联系了解是否已经采取措施解决问题。
• 更改所有用户和所有账户的密码（例如，FTP 访问密码、管理员帐户密码、内容管理系统授权帐户密码）。
• 删除所有被串改或被恶意增加的页面，并通过搜狗站长平台通过死链提交告知我们删除搜狗搜索结果中的被黑数据。
  步骤二评估损失
• 使用最新的扫描程序扫描您的计算机，找出任何可能由黑客添加的恶意代码。请务必扫描所有内容，而不是仅扫描基于文本的文件，因为恶意内容往往会嵌入图片中。
• 删除被黑的网页或网址。这样可防止系统向用户提供被黑的网页。
• 向我们报告网上诱骗网页（http://fankui.help.sogou.com/index.php/web/web/index?type=5）
• 查看 antiphishing.org（http://www.antiphishing.org/）中针对被黑的网站（http://docs.apwg.org/reports/APWG_WTD_HackedWebsite.pdf）的处理方法。
• 如果您还有其他网站，请检查它们是否也已被黑。
  步骤三如果有权访问自己的服务器，请继续以下步骤
• 检查自己的网站中是否有已遭到攻击的开放重定向网址。
• 根据所用的网站平台，检查 .htaccess 文件 (Apache) 或其他访问控制机制，以找出恶意更改。
• 检查服务器日志，以查看文件被黑的时间（记住，黑客能更改日志）。查找是否有可疑的活动，例如失败的登录尝试、命令（尤其是以根用户身份发出的命令）历史记录或未知的用户帐户。
  步骤四清理自己的网站
• 清理自己的内容，根据病毒扫描程序识别结果删除黑客添加的所有网页、垃圾内容和可疑代码。如果您备份了内容，则可考虑彻底删除自己的内容，然后替换为已知的最新完好备份（已核实既无漏洞又不含被黑内容的一次备份）。
  步骤五如果有权访问自己的服务器，请继续以下步骤
• 将所有软件包都更新到最新版本。我们建议您使用可靠的来源彻底重新安装操作系统，以确保删除黑客篡改的所有内容。另外，如果安装了博客平台、内容管理系统或任何其他类型的第三方软件，请务必将其重新安装或进行相应更新。
• 确信自己的网站不含漏洞后再改一次密码。
• 将系统设置为可公开访问。更改服务器配置，使其不再返回 503 状态代码，并且采取所有其他必要措施向公众开放自己的网站。
  步骤六申请解除屏蔽
• 当您按照以上提示仔细排除异常后，可以告知我们（http://zhanzhang.sogou.com/index.php/sitefb/addShensu）告知我们您的站点已经清理完毕被黑数据。申请解除对您网站的屏蔽，在未完全排除全部异常的状态下提交申请将无法通过我们的检查，进而无法解除屏蔽。
• 网站申诉处理周期一般为20~30个工作日，工作人员将会对您的站点内容进行检测，当确定完全排除全部异常状态之后，您的站点会解除屏蔽。
  

如何防止“被黑”？

• 定期检查服务器日志等方式发现问题，检查是否有可疑的针对非前台页面的访问。
• 经常检查网站文件是否有不正常的修改或者增加。
• 关注操作系统，以及所使用程序的官方网站。及时下载补丁，修补安全漏洞；必要时建议直接更新至最新版本。
• 修改开源程序关键文件的默认文件名，作弊者通常通过程序自动扫描某些特定的文件是否存在来判断是否使用了某套程序。
• 修改默认管理员用户名，提高管理后台的密码强度，使用字母、数字以及特殊符号多种组合的密码。
• 关闭不必要的服务以及端口
• 关闭或者限制不必要的上传功能。
• 设置防火墙等安全措施。
• 若问题反复出现，建议重新安装服务器操作系统，并重新上传备份的网站文件。
• 缺乏专业维护人员的网站，建议向专业安全公司咨询。