一、下载服务器日志,ftp传输日志。
当发现网站被黑以后,首先要做的就是下载日志文件,包括服务器日志和ftp传输日志,服务器的日志位置一般是位于C:\WINDOWS \system32\Logfiles\W3SVC1。ftp日志则取决于你的服务器所安装的ftp软件,比如SERVE-U默认是在安装目录下。但是,这边提醒一点,既然你今天看到这篇文章,服务器的各种日志,一定要转移出默认的地方,同时设置一下删除保护。对于虚拟主机用户。一般你的空间提供商都会提供3天之内的日志以及1个月的ftp日志下载,具体可以咨询你的空间提供商。下载日志这点很重要。它是我们接下去找出漏洞的关键。
有条件的可以找专业的Sine安全小组解决网站被黑的问题。 本文来自http://www.sinesafe.cn
二、替换所有恶意代码
进行下载日志的同时,应该开始删除恶意代码,以免影响用户体验。如果你拥有服务器,推荐你使用老马写的findstr,把恶意插入的代码批量替换掉。如果你使用虚拟主机,有部分虚拟主机提供批量替换功能。如果你的虚拟主机没有提供这样的功能(破烂货,赶快换掉),那你可以去下载一个雷客图ASP站长安全助手。来进行此项操作。这项操作要谨慎点,因为是对内容直接进行替换,稍微一马虎可能让你的网页内容面目全非。