無錫做網(wǎng)站哪家好為大家總結網(wǎng)站被黑的問題：

1、 簡單掛馬

首頁被掛馬，登錄網(wǎng)站后，殺毒軟件報警，檢查后，發(fā)現(xiàn)首頁index.asp檢查，底部出現(xiàn)，清理掉后，頁面即正常，這種掛馬主要以直接修改首頁文件為主，容易發(fā)現(xiàn)和清理。

2、 網(wǎng)頁后門掛馬

登錄網(wǎng)站任何頁面都出現(xiàn)殺毒報警，按之前的方法查看index.asp，并且去掉了iframe語句。但卻發(fā)現(xiàn)問題依然存在，于是查看其他文件才發(fā)現(xiàn)，所有文件全部加上了掛馬語句，即使恢復了首頁，但用戶訪問其他頁面的時候依然會蹦出病毒提示。采用備份文件覆蓋恢復，重裝操作系統(tǒng)等方法都實驗以后，隔天后可能再出現(xiàn)被掛馬的情況，此時應懷疑屬于網(wǎng)頁后門導致，于是檢查所有asp程序文件，攻擊者往往會采用一些雙擴展名的文件存放在，例如圖片目錄當中，xxxx.jpg.asp文件，打開來看代碼類似于<%execute request("sb")%> 這樣的語句，明顯是一句話后門，從文件名來判斷，這種偽裝圖片的后綴上來的文件，應懷疑是提交圖片功能存在上傳漏洞，建議停用或者采用云鎖進行過濾和檢查網(wǎng)頁木馬

3、 數(shù)據(jù)庫掛馬

訪問首頁病毒報警，全盤查找，沒有發(fā)現(xiàn)首頁和其他文件被篡改，如果對比所有文件的md5，發(fā)現(xiàn)文件沒有任何篡改的跡象，也就是說文件還是那些文件，為啥會出現(xiàn)掛馬頁面呢?可以考慮檢查數(shù)據(jù)庫中表單是否被掛馬，網(wǎng)頁木馬并沒有掛在文件里，而是掛在數(shù)據(jù)庫內容里。將數(shù)據(jù)庫中的掛馬字段進行修改�？捎迷奇i輕松攔截這些語句。

4、 文件調用掛馬

應查看被調用的其他頁面，常見的conn.asp等被包含的文件，有可能被插入后門，為啥修改這一個文件就能這么大威力呢?因為所有頁面都調用了這個文件來連接數(shù)據(jù)庫。文件可能會包含數(shù)據(jù)庫的ip端口用戶名及密碼。此時應對數(shù)據(jù)庫進行檢查，例如數(shù)據(jù)庫日志尋找一下是否有類似執(zhí)行master..xp_cmdshell的記錄，攻擊者可能利用該擴展功能執(zhí)行了系統(tǒng)命令來修改了文件，建議修改數(shù)據(jù)庫口令，把數(shù)據(jù)庫權限降到pubilc。將1433端口利用ipsec進行屏蔽，只允許本機訪問。用云鎖的防火墻功能進行攔截，并且可以掃描出被掛馬的文件。

5、 arp掛馬

用戶反映訪問網(wǎng)站的時候，殺毒軟件提示病毒，但是登錄服務器自己訪問http://127.0.0.1或本地ip，卻沒有發(fā)現(xiàn)被掛馬，但是所有用戶通過域名去訪問，就會有提示，可以通過服務器上進行抓包分析，檢查是否能發(fā)現(xiàn)大量arp包，這種arp包通常是將服務器的mac地址轉向另一個ip，利用arp協(xié)議進行掛馬，這種情況的花需要在交換機上進行mac和ip地址綁定，在交換機上進行配置以后。

6、 域名劫持掛馬

直接在服務器通過ip訪問就正常，用戶通過域名訪問就是提示有病毒，此時ping 自己網(wǎng)站域名的時候，如果顯示的ip和真實的不一樣，需要趕緊查看域名解析是否被修改，登錄域名管理后臺，修改為正常的，并且修改管理密碼。

7、 后臺程序掛馬

更新網(wǎng)頁的后臺程序，一般會使用一些熟悉的路徑，例如：

http://www.xxx.com/admin/

http://www.xxx.com/login/

http://www.xxx.com/manage/

這種后臺程序的鏈接雖然不公開給用戶，但是經(jīng)常容易被猜到，那么這種情況下，后臺的用戶名密碼可以利用暴力破解的工具來窮舉，理論上說破解只是時間問題，攻擊者登錄后臺以后，就可以很方便的直接修改內容進行掛馬，往往修改后臺地址路徑是個很費勁的工作，因為修改路徑以后還需要考慮調整其他相關的程序，路徑都要改成一致。

網(wǎng)頁被植入惡意后門或者暗鏈、掛馬，雖然看起來直接影響的是網(wǎng)站訪問者，但實際上網(wǎng)站也會產(chǎn)生損失，例如搜索引擎的排名由于反復的中毒、關機重裝導致迅速滑落位置，甚至有時候直接被提醒含有惡意代碼，客戶久而久之也會慢慢流逝，所以需要盡早利用云鎖來解決這些