网站被黑客攻击怎么办_如何预防网站被黑客攻击

如何应对黑客攻击提高网站安全性

当人们听到“黑客”一词，就感觉到了毛骨悚然，不过网站遭遇黑客的攻击，这在当今社会几乎是很常见的事情了，目前互联网上的网站总是被无时无刻的监视和被攻击状态，各位站长经常性的去看网站日志情况，总会有RAR或PHP文件的请求，许多正是被有目的的用户进行批量的探索，一旦网站管理员进行本服务器备份，那么RAR格式的文件将给直接下载，这会给网站造成很大的损失。那么建网站时如何预防和应对黑客攻击提高网站安全性呢？

第一：网站被黑或者被攻击的原因有哪些？

当然有很大一部分是属于经济原因，但并非所有攻击都是因为经济缘故。大体来讲，导致黑客攻击的原因有：

1.受雇于他人的黑客行为，如商业竞争对手恶意竞争通过黑客手法攻击；如据互联安全网报道：黑客受雇恶意文档攻击西方企业，这类攻击就属于商业竞争行为。

2. 受商业利益驱使，敲诈勒索、盗取各类银行帐户信息及虚拟财产的黑客攻击行为；如各类钓鱼行为都属于商业利益驱使的攻击行为。

3.恶作剧型的黑客行为，如随意篡改网站首页；这类黑客攻击往往是一些新手的尝试行为，更多的是为了一种虚荣心的满足。

4.搜集肉鸡，攻击一个网站后，挂上网页木马（可导致浏览该网站者中毒而使自己的计算机成为入侵者的肉鸡）；这类是为其他类攻击原因作准备，据从互联安全网社区获得的案例，有黑客竟然通过这类行为掌握了数万台的肉鸡。

5.打击报复型，如网站服务不好而引起的商业纠纷等无法处理的时候会有黑客攻击行为；如前一段时间某威客网站经常遭受莫名攻击导致无法正常提供服务，有权威人士就指出乃是因为其网站客户服务不到位，无故刁难客户导致黑客人士不平进而遭受DDOS攻击，根本不是所谓其自己据称的遭受竞争对手恶意攻击。

6.窃取资料型，此类攻击主要针对一些资料网站包括收费用户网站，一般攻击者不会破坏服务器及网站数据，但会悄悄将数据偷走据为已有；如盗取网站管理员的密码之类。

7.菜鸟测试型，这类一般为一些正在学习黑客技术的人通过攻击网站练习的人骇客新手，这类攻击一般攻击经验少，容易对网站数据造成破坏。

第二：如何预防网站被黑客攻击呢？

1、首先要重视网站安全建设，从安全制度、安全硬件、安全人员配备等都要有一定的规划。如果网站的拥有者都不重视网站安全，仅把网站安全当作一个技术问题，那就是会带来严重的麻烦。

2、注入漏洞必须补上

什么是注入漏洞，怎么产生的，这些我也不好意思在这说了，百度上很多关于这方面的介绍。比如说你的网站是动态的(假设这个网址：www在网址后面加上and 1=1 显示正常，and 1=2 显示错误，说明你的网站就是存在注入漏洞。网上有很多注入工具还可以手工注入，可以达到破解管理员的帐号密码，而现在网上也流行cookie注入，比如说你and 1=1 和and 1=2 都显示错误，你没把cookie注入的漏洞补上的话，也是会造成黑客入侵的。这些修补漏洞代码网上很多，大家可以去下载。

3、修改数据库地址，并做好数据库备份

数据库地址，这很重要，比如说你是用新云，动易的，而且你因为方便没有去习惯数据库地址，这样你就会给黑客所利用。所以一定要改。同时要做好数据备份，防止不幸后可以将受攻击的损失降到最低。

4、同IP服务器站点绑定的选择

如果你不是自己用独立的服务器，那服务器绑定的选择也很重要，黑客会利用旁注的方法入侵网站，比如说你的网站黑客没有找到漏洞，他会利用和你绑定的网站上入手。个人认为不要和黑客站和网色网站所绑在一起。

5、用户名和密码长度设置复杂的

用户名和密码不要用默然的，比如说admin,admin.用户名和密码长度设置复杂的，比如说，现在网上有个在线的破MD5加密的网站，有些是要收费的，而且最长的只破到12位。当然不排除黑客用字典工具破解。密码个人认为一定要拼音与数字结合，有标点符号是最好。

6、进行安全检查，主动进行渗透检测，最好考虑联系专业的第三方安全服务机构进行独立和专业的渗透检测，避免内部力量的不足和非独立性。

第三：网站被黑客攻击了，别挂木马了怎么办？

如何发现服务器被入侵，应立即关闭所有网站服务，暂停至少3小时。下载服务器日志(如果没被删除的话)，并且对服务器进行全盘杀毒扫描。

如果网站打开速度明显比之前的速度慢，排除了自身网络的原因，那么就有可能是网站中毒了，我们可以从以下几点入手：

1、robots屏蔽

使用robots屏蔽所有搜索，禁止搜索继续抓取;或停止网站内容更新只释放网站首页，并且所有访问均报503状态。这是笔者认为知道网站被黑客攻击时最直接的处理方式，当然这对于高权重的网站不太适用，只适合于新网站或企业类网站。

2、清理木马和黑客程序

查看源代码：发现网站代码最页头或最页尾被嵌入了比如script或者iframe这样的字符，说明被挂上了木马。通过FTP查看文件的修改时间：一般来说，黑客要修改网站文件，那么改文件的修改的时间就会跟改变，如果某些文件的修改时间明显比其他文件要晚，而我们自己并没有改动过，那么说明这个文件已经被黑客修改过了，可能已经中毒或挂上了木马，查看源文件就可以知。不过很多时候，黑客的木马程序植入到图片中，这是一个非常大的处理量，在处理前将网站服务器中所有的文件实行最高权限的限制，不允许文件被复制和修改。再利用查杀木马软件进行查杀，不过对于高权重网站如在第一时间无法及时处理黑客木马的情况下，建议直接使用备用服务器。

3、要明白网站被挂木马的原理

一般来说是由于网站本身采用的程序是来自网络免费程序，其中的代码和漏洞都为一些黑客所熟知，攻击起来易如反掌，尤其是一些asp程序。所以网站建设尽量少用网络上的免费程序搭建；黑客在找到漏洞之后就会上传黑客木马到网站中，这个木马具有删除整个网站，修改所有代码的功能，但大部分黑客会在源网站的代码中加入他们的一些木马和病毒文件，然后访问的人中毒成为他们的肉鸡，或者达到一些不为人知的目的。

4、提交劫持地址

谷歌和百度都有提交提交的地址，大家将网站被劫持的地址提交给他们，告知他们网站被攻击和域名被劫持，这样保留住网站的收录和排名，当然这和屏蔽搜索是同一步骤，只是将先后顺序笔者理顺。这时候可能很多站长在搜索中搜索自己网站的开始出现危险的警告，这时候无需管他，只要处理完木马和提交后，这个警告就会自动去除，一般在你清理完木马开放网站后的三天内。

百度遭受DDOS攻击时采取了哪些措施，以及被攻击后采取什么手段防止再次遭受类似攻击？

网站被黑客攻击，说明你的网站存在很多安全隐患，漏洞之类的，就算登录服务器找到源文件修复了，也会被黑客再次入侵，所以只有把网站的所有漏洞找出来进行修复，防止黑客的攻击，避免安全事故发生，造成网页挂马、网页内容被篡改、数据泄露等，可以找专业的网络安全公司来服务！国内也就Sinesafe和绿盟等安全公司 比较专业.

公司网站遭到黑客攻击怎么办？

企业网站遭受黑客攻击后的处理步骤：

1、修改网站后台登录密码。

2、将被黑客修改的页面进行修复。

3、如果黑客的攻击造成企业亏损的选择报警，由公安局立案调查。

像网易这种网站他是怎样避免被黑客攻击的?

除了自身的硬件条件外,还需要对你的服务器做出安全设置控制,用2003系统来说下具体安全设置如下:

1、服务器安全设置之--硬盘权限篇

这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了。

硬盘或文件夹: C:\ D:\ E:\ F:\ 类推

主要权限部分：

Administrators 完全控制 无

该文件夹，子文件夹及文件

不是继承的

CREATOR OWNER 完全控制

只有子文件夹及文件

不是继承的

SYSTEM 完全控制

该文件夹，子文件夹及文件

不是继承的

其他权限部分：

如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:\php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全，下面会有介绍。如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有users用户的读/运行/写/权限，IIS用户则相同，这个IIS用户就只用在winwebmail的WEB访问中，其他IIS站点切勿使用

硬盘设置需要根据你的实际需要来设置权限！

2、服务器安全设置之--系统服务篇(设置完毕需要重新启动)

*除非特殊情况非开不可，下列系统服务要停止并禁用：

1、Alerter 2、Application Layer Gateway Service 3、

Background Intelligent Transfer Service

4、Computer Browser 5、Distributed File System 6、Help and Support 7、Messenger 8、NetMeeting Remote Desktop Sharing 9、Print Spooler 10、Remote Registry 11、Task Scheduler 12、TCP/IP NetBIOS Helper 13、Telnet 14、Workstation 以上是windows2003server标准服务当中需要停止的服务，作为IIS网络服务器，以上服务务必要停止，如果需要SSL证书服务，则设置方法不同。如果你装有虚拟主机系统，设置当然也不一样！更详细设置可以根据自己的需要找更详细的参考资料。

3、服务器安全设置之--组件安全设置篇 (非常重要！！！)

A、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT文件执行（分2000和2003系统）

win2000

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

win2003

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32/u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改

【开始→运行→regedit→回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下一个】

用这个方法能找到两个注册表项：

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。

第二步：比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

其实，只要把对应注册表项导出来备份，然后直接改键名就可以了。

WScript.Shell 和 Shell.application 组件是 脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，ASP和php类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。下面是另外一种设置，大同小异。

一、禁止使用FileSystemObject组件

FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

改名为其它的名字，如：改为 FileSystemObject_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

也可以将其删除，来防止此类木马的危害。

2000注销此组件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

2003注销此组件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

如何禁止Guest用户使用scrrun.dll来防止调用此组件？

使用这个命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests

二、禁止使用WScript.Shell组件

WScript.Shell可以调用系统内核运行DOS基本命令

可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

也可以将其删除，来防止此类木马的危害。

三、禁止使用Shell.Application组件

Shell.Application可以调用系统内核运行DOS基本命令

可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT\Shell.Application\

及

HKEY_CLASSES_ROOT\Shell.Application.1\

改名为其它的名字，如：改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

也可以将其删除，来防止此类木马的危害。

禁止Guest用户使用shell32.dll来防止调用此组件。

2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests

2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests

注：操作均需要重新启动WEB服务后才会生效。

四、调用Cmd.exe

禁用Guests组用户调用cmd.exe

2000使用命令：cacls C:\WINNT\system32\Cmd.exe /e /d guests

2003使用命令：cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。

C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本，之后可以直接设置密码)

先停掉Serv-U服务

用Ultraedit打开ServUDaemon.exe

查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

4、服务器安全设置之--IIS用户设置方法

不同站点使用不用的IIS用户。另外权限的设置要细致。

5、服务器安全设置之--服务器安全和性能配置

把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoRecentDocsMenu"=hex:01,00,00,00

"NoRecentDocsHistory"=hex:01,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"DontDisplayLastUserName"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]

"AutoShareServer"=dword:00000000

"AutoShareWks"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"EnableICMPRedirect"=dword:00000000

"KeepAliveTime"=dword:000927c0

"SynAttackProtect"=dword:00000002

"TcpMaxHalfOpen"=dword:000001f4

"TcpMaxHalfOpenRetried"=dword:00000190

"TcpMaxConnectResponseRetransmissions"=dword:00000001

"TcpMaxDataRetransmissions"=dword:00000003

"TCPMaxPortsExhausted"=dword:00000005

"DisableIPSourceRouting"=dword:00000002

"TcpTimedWaitDelay"=dword:0000001e

"TcpNumConnections"=dword:00004e20

"EnablePMTUDiscovery"=dword:00000000

"NoNameReleaseOnDemand"=dword:00000001

"EnableDeadGWDetect"=dword:00000000

"PerformRouterDiscovery"=dword:00000000

"EnableICMPRedirects"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]

"BacklogIncrement"=dword:00000005

"MaxConnBackLog"=dword:000007d0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]

"EnableDynamicBacklog"=dword:00000001

"MinimumDynamicBacklog"=dword:00000014

"MaximumDynamicBacklog"=dword:00007530

"DynamicBacklogGrowthDelta"=dword:0000000a

功能：可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源）

6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)

协议 IP协议端口 源地址 目标地址 描述 方式

ICMP -- -- -- ICMP 阻止

UDP 135 任何IP地址 我的IP地址 135-UDP 阻止

UDP 136 任何IP地址 我的IP地址 136-UDP 阻止

UDP 137 任何IP地址 我的IP地址 137-UDP 阻止

UDP 138 任何IP地址 我的IP地址 138-UDP 阻止

UDP 139 任何IP地址 我的IP地址 139-UDP 阻止

TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止

UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止

UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止

UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止

TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止

TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止

TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止

TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止

UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止

UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止

UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止

TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止

TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口

7、服务器安全设置之--本地安全策略设置

安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动)

开始菜单—管理工具—本地安全策略

A、本地策略——审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问 失败

审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

B、本地策略——用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests、User组

通过终端服务允许登陆：只加入Administrators组，其他全部删除

C、本地策略——安全选项

交互式登陆：不显示上次的用户名 启用

网络访问：不允许SAM帐户和共享的匿名枚举 启用

网络访问：不允许为网络身份验证储存凭证 启用

网络访问：可匿名访问的共享 全部删除

网络访问：可匿名访问的命 全部删除

网络访问：可远程访问的注册表路径 全部删除

网络访问：可远程访问的注册表路径和子路径 全部删除

帐户：重命名来宾帐户 重命名一个帐户

帐户：重命名系统管理员帐户 重命名一个帐户

还有很多设置！你可以多找找资料！

如何防范黑客入侵的方法

网络时代，越来越多的人喜欢上在网络上“晒”自己创作的文字、影像等。但是，又有很多人的私人影像资料等在未经本人允许的情况下被黑客窃取，甚至流传到网上，让很多普通人被迫成了“网红”。

近日，一位女大学生就面临着网络入侵的侵害。一位读大学的19岁大连女孩，把自己的电脑送去电脑店修理，但让她没想到的是，修好后的电脑中被植入了偷拍软件，摄像头也被远程操控。

摄像头入侵（图文无关）

电脑故障，送维修店修理

刚成年的大连女孩肖婷在外地读大学。2007年国庆节期间肖婷回到大连与家人团聚。由于在外读书期间，自己的笔记本出现了一些故障，肖婷便趁着回家把笔记本送到家乡的一加电脑维修店进行修理。几天后，肖婷取回了修好的笔记本，电脑故障排除，一切都毫无异样，肖婷也就没在关心修电脑的事情。

警方联系，电脑竟成监控

笔记本电脑摄像头

电脑故障排除后，肖婷一直在正常使用着自己的电脑。一直到了12月6日，人在外地的肖婷突然接到大连警方打来的电话。民警告诉肖婷，她的电脑里被人安装了偷拍软件，可以远程控制电脑摄像头！起初，肖婷还以为遇到了骗子，但经过核实，才发现民警说的都是真的。

维修工做手脚，偷装监控软件

网络监控平台（图文无关）

而经过调查后发现，植入偷窥软件的正是售后服务站的维修工程师。这位维修工程师表示，电脑被植入偷拍软件后，这位女大学生在女生寝室里的一举一动，都被拍下了视频，还被直播了出去，更夸张的是，这位女生全寝室换衣服都都曾被公开直播。

普通人如何防范网络入侵

1.使用正版操作系统

虽然正版的操作系统也有被网络入侵的风险，但是相对于盗版操作系统要小得多。很多消费者习惯到电脑店安装盗版操作系统，价格20元左右不等，或者到网络上自己下载破解的操作系统安装。事实上，这些操作系统本身甚至已经被植入了木马、病毒等，很容易就会成为黑客的监视器。

2.谨慎使用网络摄像头

网络摄像头（图文无关）

很多家庭都在使用网络摄像头进行家庭监控，其可以随时随地查看监控信息的功能深得消费者们的喜爱。但是，这些网络摄像头依然有被黑客入侵的风险。消费者应当选购大公司的产品，并且定期修改监控账号的密码。安装摄像头时，应避免将摄像头对准浴室等隐私位置。

3.使用正版杀毒软件

如果电脑无法避免在病毒风险中使用，应当安装正版的杀毒软件定期对电脑进行扫描。