我的网站被黑了！ 我现在该怎么办？

你好朋友！

在本博客中，我们将彻底解释与入侵任何WordPress、WHMCS或 PHP 构建的网站相关的所有内容。 我们还将向您解释恢复被黑网站的步骤。

你在生活中的任何时候都经历过这种情况吗？

我的网站被黑了！ 我现在该怎么办？

让我告诉你，有多种因素会导致网站被黑客入侵。 单个后门/漏洞足以感染任何类型的网站，无论是 WordPress 网站、WHMCS 网站、php 构建的网站，还是任何其他 CMS 构建的网站。

如何知道您的网站是否真的被黑了？

您可以通过多种方式确定您的网站是否真的被黑客入侵。 有时，黑客只是用他们自己的一些自定义页面来破坏您的网站，上面写着“被黑客入侵…………在这种情况下，很容易理解您的网站已被黑客入侵并且现在处于黑客的控制之下。

但有时黑客不会显示或透露您的网站已被他们入侵，因为他们想尽可能长时间地使用您的网站进行一些非法工作。

您的网站是如何被黑客入侵的？

一旦您知道您的网站已被黑客入侵，您的脑海中就会不断出现许多问题，例如它是如何发生的？ 为什么会被黑客入侵？ 什么时候被黑客入侵？

因此，朋友们继续阅读此博客以找到所有答案……

 另请阅读：启用灰名单以保护电子邮件免受垃圾邮件

以下是黑客控制您网站的一些常见方式：

1.猜测密码（蛮力）：简单的密码是黑客控制任何网站的最常见方式。 黑客通过猜测非常容易猜到的密码来尝试一些随机尝试。 确保您的密码不在此列表中

这就是为什么强烈建议生成一个强大且难以猜测的密码，以防止这些攻击在未来得逞。

2. 漏洞/后门
什么是漏洞？
了解什么是脆弱性非常重要，所以让我们以您自己的房屋为例。 假设在你的房子里有很多你一直锁着的门窗，但它们是一扇窗，从外面看起来是关着的，但实际上并不是关着的，如果有人意识到这一点，他可以简单地从中进入并进入整个房子。 这称为脆弱性。

漏洞也被称为弱点，这种弱点可能是攻击者的优势。

攻击者利用这一优势并试图获取他们不应该拥有甚至可能闯入系统的敏感信息。

当您的网站被黑客入侵时该怎么办？

一旦发现您的网站被黑客入侵，您应该立即执行以下几个步骤：

1.让您的网站离线，直到问题解决：您可以简单地通过.htaccess 规则让您的网站离线，这样除了您之外没有人访问您的网站。 您可以这样做以防止所有人从外部看到您受感染的网站，以便您可以在不受任何干扰的情况下清理您的网站。 此外，试图访问您网站的人不会遇到恶意代码或垃圾邮件文件。 阅读此博客

>> 阻止除您自己以外的所有人访问您的网站 - htaccess

>> 通过灰名单保护服务器免受垃圾邮件的侵害

2.更改您的帐户密码：一旦您发现您的网站被黑客入侵，请立即更改您的帐户密码。 有时更改密码可以让您重新获得控制权。 永远不要设置简单的密码。 如果您有 WordPress 网站，只需进入您网站的登录页面，然后单击丢失密码

在此处输入您的用户名或电子邮件地址以获取获取新密码的链接

但是，如果黑客已经更改了用户名或电子邮件地址，那么在这种情况下，您需要在后端付出更多努力。 要更改 WordPress 的用户名或电子邮件地址，请阅读此博客

3.检查所有最近修改的文件：很明显，攻击者可能已经使用他们自己的自定义代码将文件修改为您的任何一个或多个文件。 因此检查最后修改的文件将非常有益。 阅读此博客 >>如何在 cPanel 中检查上次修改的文件？

4. 检查恶意软件：如果您托管在Redserverhost ，那么出于特殊安全目的， Redserverhost已经安装了Imunify360来处理此类受感染的网站。 Imunify360检测网站中的恶意软件并自动重命名public_html以便没有人可以访问它。 一旦public_html被重命名，网站就会开始抛出 404 错误。 阅读此博客

4. 备份当前状态的完整帐户：一旦您发现您的网站被黑客入侵，强烈建议备份当前状态的整个帐户。 我这么说只是因为至少在进行备份后，您将拥有所有文件和文件夹，数据库，但是它们被感染了，这不是问题，您可以稍后进行调查并修复它。 但是假设如果您没有随身携带备份，并且突然发现黑客已经删除了所有文件/文件夹以及数据库，那么留给您的选项是什么..完全空白..

有东西总比什么都没有好。

如何清理受感染的网站？

1. 将备份文件的当前状态与旧的干净备份进行比较：如果您有旧备份，那么您可以将其与当前备份进行比较并确定已修改的内容。 试试Diffchecker 。 完成文件比较后，只需将文件替换为未感染的文件即可。 如果您没有旧备份，请不要担心，请继续阅读。

2. 检查 Imunify360 检测到的受感染文件（在 Redserverhost 中）：如果您使用 Redserverhost 的托管服务，那么您可以轻松找到受感染的文件，因为Redserverhost出于特殊安全目的在每个 cPanel 帐户中安装了 Imunify360。 这个 Imunify360 不仅可以检测到受感染的文件，还可以隔离它们并将 public_html 重命名为其他名称。

现在是进行更深入调查的时候了。 进入 cPanel 后，只需转到 Imunify360 并识别最近上传和修改的文件，并通过跟踪访问者日志中的 IP 地址与更改文件的用户确认更改的日期和时间。

在 Imunify360 中，您可以获得 Imunify360 检测到文件的确切时间，一旦获得文件上传的确切时间，您可以跟踪实际尝试访问您的 cPanel 的访问者的 IP 地址在那个特定的时间从公制部分。

Metrics 部分有几个工具，如访问者、Webalizer、Raw Access 等，它们可以帮助您跟踪访问者的详细摘要及其 IP 地址以及他们访问您网站的确切时间。

这些工具中最有用的是访客工具，它为您提供访客的详细摘要。 只需转到 cPanel 中的度量部分，然后单击访问者工具。

只需确保在一个选项卡中打开访问者部分，在另一个选项卡中打开Imunify360页面，以便您可以轻松调查。

在这里，您需要点击域名前面的放大镜图标。

现在在这里您将看到不同的 IP 地址以及 URL、时间和引用 URL，如下图所示。

在这里，您需要交叉检查您在 Imunify360 中看到的该时间范围内（检测到受感染文件之前和之后的半小时和之后）访问的所有文件

因此，通过这种方式，您将了解哪些访问者试图访问您的网站以及他们在哪个文件中注入了恶意代码

一旦找到可疑文件，打开它并尝试读取代码，您肯定会在其中找到一些可疑内容，将其彻底删除。

3.寻找最常见的恶意PHP函数，例如base64：为了在你的整个cPanel中找到base64，请阅读这篇博客>> https://blog.redserverhost.com/how-to-find-base-64-code-在你的整个 cpanel/. 一旦你找到了 base64 PHP 函数存在的文件，这些文件可能是可疑的，因为大多数黑客都使用 base64 php 函数，因此没有人可以通过运行任何 php 代码来找到他们的代码。

4. 删除所有不必要的和使用过的应用程序或插件：您不得安装免费提供的、旨在造成伤害和收集信息的无效插件。 因此，如果您曾经安装过此类插件，请立即将其删除。

5. 保护您的 public_html ：在托管您的网站时，权限可能非常重要。 权限可以允许我们的服务器计算机写入和编辑您的文件。 除此之外，作为安全措施，需要保护某些文件不被写入和编辑。 阅读此博客

如果您想保护和强化您的 WordPress 网站，请访问以下链接：

如何让您的 WordPress 网站更安全

如何保护您的 WordPress 网站的 wp-content 文件夹？

如何保护 WordPress 网站中的 wp-config.php 文件？

如何停止访问您的 WordPress 网站的敏感文件？

一旦您发现您的 WHMCS 网站被黑客入侵，需要采取哪些步骤？

黑客入侵的最常见原因之一是密码不安全。 因此，一旦您发现您的 WHMCS 网站被黑客入侵，请立即尝试更改管理员密码。 很明显，黑客可能还更改了 WHMCS 中使用的电子邮件地址。 因此，如果您无法从前端更改密码，则无需担心，您仍然可以通过 cPanel 中的 phpMyAdmin 将电子邮件地址更改为新的新电子邮件地址。

登录到您的cPanel并转到PhpMyAdmin

现在转到 WHMCS 关联数据库。 要查找数据库名称，请转到 whmcs 安装目录并查找 configuration.php。 在此文件中，您将获得 db_username、db_password、db_name 等。在新选项卡中打开此文件并返回 phpMyAdmin 页面。

找到数据库后，单击它。

现在单击“ tbladmins ”表。

现在选中该框并单击“编辑”选项

在下一页向下滚动到电子邮件部分并更改电子邮件地址

成功更改电子邮件地址后，只需向下滚动到页面底部，单击“开始”按钮

恭喜！ 电子邮件地址已成功更新。

现在您需要访问 WHMCS 登录页面并单击忘记密码

在此处输入您最近在 PhpMyAdmin 中更新的电子邮件地址

最后单击重置密码以接收密码更改链接。

因此，通过这种方式，您将能够从黑客手中夺走控制权。 但是你现在不能简单地放松，因为最好添加一些额外的安全措施来防止攻击。

我们可以更改默认的 WHMCS 设置以提高安全性。 这包括：

1.更改管理目录：将管理目录的名称从“admin”更改为另一个难以猜测的名称。 阅读此博客

2. IP地址限制：

为了加强保护，我们可以设置仅允许员工访问管理区域的限制。 这仅允许员工 IP 地址进入 WHMCS 管理区域。 这是通过在您的 WHMCS 管理目录中创建一个名为 .htaccess 的文件来完成的，该文件具有以下内容：

 命令拒绝，允许
允许来自 102.34.5.167
允许来自 198.76.54.132
否认一切

要了解有关如何保护和强化您的 WHMCS 站点的更多信息？ 阅读此博客

如果您喜欢这个博客，请考虑在 Facebook 和 Twitter 上关注我们。

Facebook页面- https://facebook.com/redserverhost
推特页面- https://twitter.com/redserverhost

如果您有任何疑问，请随时通过下面的评论部分告诉我们。