【主机安全】网站中木马首页被篡改怎么办

首页被篡改的表现

1、在PC端通过浏览器直接输入网址访问网站时，表现为正常的网站内容。

2、当通过百度进行搜索，或者手机浏览器访问时，便有可能跳转到非法网站。

3、通过百度搜索官网时，可能会发现网站的标题和描述信息都已被篡改。

首页被篡改的情况

网站的首页遭到了篡改通常表现为以下情况：

1、原先的首页文件被删除并替换成一个静态文件，如index.html、default.html、index.thm、default.htm。

2、原先的首页文件仍然保留，但内容已被篡改，且同时生成了新的静态文件。

3、被篡改的文件，主体代码正常，但在其中加入了JavaScript代码，会判断访问来源，一旦识别到来自搜索引擎的访问，就会触发跳转操作。

4、关键信息被转码处理，用户无法直接看到具体内容，但搜索引擎能够将其解析成文字，这也是在搜索结果中看到网站内容被篡改的原因。

解决方法

一、临时恢复网站首页

删除被篡改的文件，并从备份中恢复原始的首页文件，或者删除掉首页文件中的恶意代码。

这是一个临时性的解决方案，因为首页文件很可能再次被替换和篡改。先确保网站的访问得到恢复，然后继续处理。

二、比对网站代码

在对比操作前，需要有一份完整的网站备份，特别是代码部分的备份。

登录到服务器或通过FTP连接到网站目录，仔细比对每个目录和文件与备份中的对应项。当发现可疑情况时，如：发现异常的文件名、在使用php编写的网站上出现了.jsp扩展名的文件、在上传目录中发现了动态文件、在静态素材文件夹中出现了动态文件、在程序目录中出现了静态文件.jpg的图片等，这些都有可能是木马。

动态文件是指程序代码，如.php、.asp、.jsp等 静态文件是指素材文件或静态网页，如.jpg、.png、.css、.html等

三、分析访问日志

apache或nginx通常都会生成网站日志，可以通过日志来分析，找出可疑的访问信息。日志大多为txt文本文件，可借助工具进行查看。

四、加强安全防护

服务器被植入了木马文件，必须从源头上解决问题，否则类似的问题仍会反复出现，可通过以下几方面入手。

1、设置服务器安全组或防火墙

只保留如80、443等常用端口，诸如22、21、3389、3306 等管理端口，默认可关闭，在需要使用的时候打开，使用完毕后再关闭，提高服务器安全性。

如何设置服务器安全组 https://cloud.tencent.com/developer/article/2295357

如何设置轻量应用服务器防火墙 https://cloud.tencent.com/developer/article/2345129

2、更新服务器操作系统补丁

及时登录服务器，根据提示更新服务器的安全补丁，可以提升服务器安全性。

Windows服务器可以通过系统自动更新操作安装补丁，Linux服务器则相对麻烦一些，需要自行安装。

3、检查程序漏洞

程序漏洞也可能是问题的根源，这与代码质量有很大关系。如使用开源产品则需时时关注产品官网的安全提示，按要求更新程序补丁。如自行开发的网站，则需于程序员配合，检查程序逻辑是否存在问题，是否设置了合理的文件上传限制等。

4、目录权限的配置

除上传目录、缓存目录外，主要的代码执行目录应设置为只读，上传及缓存目录设置为可读可写。通过权限的方式，防止文件被篡改。

如动态首页index.php，或长时间无需变更，可以设置为只读。

5、避免弱口令

后台管理账号设置应尽量复杂化，以增强安全性。密码方面，务必采用强密码，坚决杜绝使用弱密码，从而确保系统安全。

五、使用主机安全产品

腾讯云主机安全（Cloud Workload Protection，CWP）基于腾讯安全积累的海量威胁数据，利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵防御、漏洞风险预警及安全基线等安全防护服务，帮助企业构建服务器安全防护体系。现支持用户非腾讯云服务器统一进行安全防护，轻松共享腾讯云端安全情报，让私有数据中心拥有云上同等级别的安全体验。

T-Sec 主机安全 https://cloud.tencent.com/product/cwp

六、重装系统

都不行？备份数据，重装系统吧。

总结

通过以上操作，可以一定程度上提升服务器和网站的安全性，减少被入侵的可能性。