我他妈当年就是头铁,觉得自己的小破站没人看得上,主题和插件全是网上找的破解版,密码还是admin123,结果呢?凌晨两点手机疯狂响,打开一看谷歌搜索站长工具提醒我‘恶意软件’,点进去一看首页标题全变成了‘澳门首家线上赌场上线啦’——我他妈人都傻了,真的,血液都凉了半截。
你问我怎么办?先别慌(虽然我当时慌得手抖得烟都点不着),按这个顺序来,能捞回来一点是一点,这流程是我花了三千块找安全团队和三天没睡觉换来的。
第一步:立刻、马上、断网! 别管什么SEO和蜘蛛抓取了,先去服务器面板或者用FTP,把整个网站的目录权限改成444(只读),或者更狠一点,直接把网站目录改名。原理就是让黑客的木马后门文件无法再执行写入,阻止他继续搞破坏。我当时就慢了几分钟,那个逼养的脚本又在后台生成了几千个泛解析的垃圾页面,全是黄色关键词,后来清理到吐。
第二步:抓取完整备份。 对,就是现在!别管干不干净,用服务器商的自带备份功能或者命令行,把整站文件和数据库全部打包下载到本地。这是你最后的救命稻草,万一操作失误全删光了,还有机会回滚。别问我怎么知道的,说多了都是泪。
第三步:关门查杀。 下载下来之后,在本地环境或者用一个临时域名(别用主域名!)把网站跑起来。然后用工具扫,推荐D盾或河马,专门查webshell和木马。重点查上传目录(upload)、缓存目录、还有那些看起来莫名其妙的.php、.js文件,特别是修改时间最近的那些。黑客很狡猾,会把后门藏在图片里或者加密,所以查杀要仔细。同时,立刻修改所有密码:服务器SSH、FTP、数据库、网站后台管理员,全部改成高强度复杂密码,不一样的!
第四步:彻底清理与加固。 找到木马文件后别光删除,要思考他怎么进来的。是不是WP的TimThumb插件漏洞?是不是某个忘记更新的老旧编辑器上传漏洞?这里有份保命文档梳理了常见入口。清理完后:1. 所有插件、主题、程序更新到最新版;2. 删除所有用不到的主题、插件文件;3. 限制登录IP、安装登录安全插件(如限制尝试次数);4. 检查并清理数据库里可疑的待审核评论、用户;5. 最后,上CDN和WAF(网站防火墙),别省这点钱,它能帮你挡掉大部分自动化攻击。
第五步:提交死链,请求重新审核。 清理并上线后,去百度站长平台和谷歌Search Console,把那些被黑客生成的垃圾页面URL提交成死链。然后写一封诚恳的复查申请,说明情况、已经处理完毕。剩下的就是漫长而煎熬的等待,看着索引量一点点恢复,这个过程比失恋还难受。
最后说一句诛心的:所有风险,九成都源于贪便宜和懒。用正版,勤备份,更密码,做监控。别等服务器被当成肉鸡打了DDoS攻击收到机房律师函的时候,才想起来今天这个帖子。唉,我抽根烟去了。
