假如你得网站被入侵了你会怎么办？

这几天真是遇到Dog了，网站持续被有’猿‘人扫描；

平时会在 博客上分享一些小知识，然后便于自己回忆也一定程度上能帮助遇到同样问题的盆友，

但就在前几天偶然看到网站访问日志上有陌生ip在频繁访问后台路径（图一），


个别ip看起来很‘洋气’！ 不知道是买了几个代理ip还是真就是国际友人？然后阿里云的警告邮件就发过来了... ;

 

-----------------------------------------------------------

 

 

咱虽说没见过啥大世面但该有的常识还是有的，于是意识到俺的小破站被攻击了，并且已经被传了后门文件；

当时就想见识一下啥叫黑客，于是就顺着路径打开了被传文件的地址，是长这个样子的（图三）；


　　第一感觉是这个界面还是很酷炫的；

　　但是仔细翻看后就觉得后背发凉，因为这个文件是有权限删除文件的，只要操作者有想法，就可以把文件全删光（盲猜这位“黑客”也想到删文件人家万一有备份不就不起作用了）；
　　
　　巧的是我就是每三天备份一次，保留最新的三次备份；

　　最后我的处理方法就是 ：把全站文件克隆到本地 用 D盾 扫描一遍发现有三处文件是存在异常的；

　　其中最为隐蔽的是首页被植入了跳转代码，大概逻辑就是判断你的上一个页面是否是搜索引擎，

如果符合条件就跳转至它设置的地址并且网址后的查询字符串携带了本站的特征信息（域名，访问者ip等等）， 后来梳理了一下，

应该是因为使用了非官方的插件 被不法分子利用了。

　　

　　查了一下log日志 比较可疑的ip都已经记录留档 如果造成损失就当线索汇报给警察叔叔了哦， 附上某一个可疑ip的大概地址，只是大概。

 

。。。Oo0.0oo.0o6o09o。