做为一个运维人员要经常面对各种问题，其中不可避免的就是网站入侵问题，据观察此类问题基本上是为了挂马、流量攻击、拖库，除了拖库对网站安全影响很大，挂马和流量攻击的危害性相对比较小。大部分网站都会面临被挂马的问题，更甚者在挂马页竟然写着“友好往来，拒绝删链，否则后果自负”，这对服务器运维人员来说简直是赤裸裸的挑衅。

　　一般的运维人员对这种问题往往没有太好的解决办法，只是简单的删除链接恢复网站，但没过几天问题依然没有解决，挂马依然存在，双方就这样在删除与添加中对峙。

　　有好多客户打电话过来反映网站被挂马了，咨询网站挂马之后该如何处理，具体问客户什么时间被挂的，客户大部分都说不出来具体时间，他们的解决办法也很简单，挂完之后直接删除，然后继续这场无头的拉锯大战，其实这是不对的。

　　如果我们发现网站被入侵之后，首先要做的不是删除，而是保留证据，第一步操作是找到文件的具体修改时间，要把这个时间点确定，只有时间点确定之后才能有后续的操作，如果你连自己网站什么时候被入侵的都不知道，还谈什么后续的处理呢？

　　第二步：查找相关日志

　　找到文件的修改时间之后，马上查找对应时间的网站访问日志、服务器登录日志、ftp日志，按这个时间点查询肯定会有蛛丝马迹，找日志的目地是为了找到我们的程序或者服务器的漏洞，只有找到漏洞，把漏洞封堵才是解决问题的根本，不然漏洞给人留着，随时都可以进行修改，你所有的工作都白做了。

　　注意：windows日志和文件时间会有8个小时的时间差！

　　第三步：漏洞修复

　　如果是网站的漏洞，通过网站访问日志就可以看到，一般文件修改时间点的日志前后会有大量不正常访问页面，请求方式大部分都是post，网站访问基本上是get，如果是post请求就需要特别注意了，有的时候找到的文件是黑客上传的文件，然后要根据这个文件创建的时间重复之前的操作，直到找到根本，这里面大部分都是编辑器上传漏洞引起的，fck问题居多。

　　温馨提示：使用编辑器的时候一定要主要上传的处理，不要使用编辑器默认的上传处理，默认的上传处理是没有用户验证的，也就是说别人知道这个上传地址可以上传任意文件，能传文件也就能传webshell，否则，一时的省心到时候哭都来不及了。

　　网站遭遇入侵之后，一定要查找入侵原因，把漏洞修改，这样才能彻底解决问题，是服务器安全没有做好，还是程序安全没有做好，把该处理的处理好，彻底杜绝后患，同时要把安全时刻放在心上，时刻保留安全意识，只有这样才能减少网站被入侵的风险。