3.4 网站被黑客攻击的防护方法

如果网站不幸被攻击者攻击，那么我们一般可以采用如下的方法来进行防护。

1.确认被攻击的范围

如果网站被篡改，可能攻击者只拥有网站的权限，就是常说的Webshell。也有可能攻击者通过WebShell提权，已经获得服务器的权限，甚至已经渗透到内网。所以可以通过日志等迹象来判断和确认攻击的范围，同时查看系统里有没有多余的账号。

2.备份日志(如IIS、Apache、FTP、Windows/Linux/UNIX等日志)

可能部分日志已经被黑客清除，可以通过日志恢复等方法，尽量找到更多的日志。如果有大的损失，可以打110报警。这时候日志就发挥重要作用了，办案人员可以通过日志寻找入侵者的行踪。日志还有一个重要作用就是有可能找到黑客攻击该网站时所使用的方法，并从中寻找漏洞所在。

3.清除后门程序

一般攻击者会为了长期进入受害者系统，而安装各种后门程序如asp、aspx、php、jsp、cgi、py等脚本木马。如果攻击者已经获得服务器权限，就检查基于系统的后门如Rootkit、反弹远程控制木马，检查攻击者是否替换程序等，并且把系统里不认识的账号删除。

4.修复漏洞

仅仅清除后门是不够的，还必须找到攻击者攻击时所利用的漏洞。这样才能从根本上解决安全问题，这个过程难度是最大的，一般会涉及开发，只有具备丰富经验的安全人员才能解决。找到漏洞后要打个补丁。

5.更改以前的配置文件

更改原先配置，修复漏洞后，需要更改一些以前的配置文件，如网站后台密码、数据库连接密码、变更网站路径或者文件名。这样做的目的就是防止攻击者通过以前的记录信息再次入侵，同时更改Administrator、root等管理员密码。