网站建设过程中，最让人头疼的事之一，就是网站突然中毒。前一天还能正常打开，第二天就出现跳转、弹窗、挂黑链，严重一点还会被浏览器标记为危险网站，影响访问和询盘。很多企业一遇到这种情况，第一反应是赶紧删文件、重装程序，结果病毒没清干净，过两天又复发。其实，网站中毒后最怕的不是“发现晚一点”，而是处理没有顺序，导致问题越来越乱。网站被入侵后，站长应先确认受影响范围、彻底修复整个站点，而不是只修个别页面;如果修复不完整，安全警告和搜索影响往往不会解除。

　　一、网站中毒后，通常会出现哪些表现

　　网站中毒不一定都是首页打不开，有些情况表面看起来还算正常，但实际上已经被植入恶意代码。比较常见的表现包括：打开页面自动跳转到陌生网址、页面里出现异常广告或非法内容、搜索结果里冒出根本没发布过的垃圾页面、浏览器提示“危险网站”或“包含恶意软件”，以及 Search Console 的“安全问题”报告出现告警。被黑网站可能出现恶意软件、代码注入、伪装页面等不同问题，而且示例链接通常只是样本，不代表受影响页面只有那几个。

　　还有一种情况更容易被忽略：网站前台看着正常，但搜索引擎抓到的内容和普通访客看到的不一样。比如只对 Google 爬虫展示垃圾链接、只对特定来源做跳转，或者把恶意内容藏在 404 页面、JS 文件、图片目录、上传目录里。恶意代码有时会藏在 .htaccess、错误页模板、外链资源甚至被入侵的第三方脚本中。

　　二、网站一旦中毒，第一步不是查杀，而是先止损

　　很多人一发现网站异常，马上就去后台删插件、删文件，实际上更稳妥的做法是先止损。发现网站被黑后，第一步应先联系主机服务商;如果条件允许，应临时下线网站，至少在确认修复前不要继续让用户访问。如果暂时不能下线，可以返回 503 状态码，避免问题页面继续被抓取和访问。

　　止损时还要做两件事。第一，先保留现场。不要一着急把所有东西都删掉，应该先把当前网站文件、数据库、日志单独备份一份，并标记为“疑似感染版本”。即便备份已经被污染，也建议先保留镜像或文件副本，后面排查入口、比对异常文件时会用得上。第二，立即修改关键账号密码，包括主机面板、FTP、SSH、数据库、CMS 后台以及管理员邮箱。因为不少网站反复中毒，根源不是没删干净，而是攻击者原来的入口还在。

　　三、网站中毒后，到底该怎么排查

　　排查网站病毒，不能只盯首页。更实用的办法，是先从“哪里先报错”入手。Google Search Console 的安全问题报告可以看到受影响类型和示例链接，适合先判断是恶意软件、代码注入还是垃圾页面问题。Google 也建议使用示例 URL 做排查，但要记住，这些链接只是样本，真正受影响的范围可能更大。

　　接下来要查服务器日志和近期变动文件。应检查服务器日志中的异常请求、失败登录、陌生账号、可疑命令历史，并查看是否有被修改或新增的文件。实际排查时，重点可放在这些位置：网站根目录、.htaccess、index 文件、主题模板、公共 JS 文件、上传目录、计划任务、数据库中的脚本代码，以及最近几天被改动过的文件。因为很多挂马并不直接写在首页，而是藏在公共调用文件里，一旦页面加载就会一起执行。

　　如果是支持文件上传的网站，还要重点看上传目录是否混进了可执行脚本。文件上传是常见风险点，攻击者可能把 Web Shell 伪装成图片或其他文件上传到服务器，一旦服务器把它当脚本执行，就可能拿到整站控制权。

　　四、网站中毒后，正确的查杀方式是什么

　　真正安全的处理思路，不是“哪有问题删哪”，而是“先找入口，再整体清理”。如果你手里有中毒前的干净备份，最稳妥的做法通常是：先重建一个干净环境，再恢复干净备份，然后把系统、CMS、插件、主题全部更新到最新可用版本，恢复备份前要确认备份产生于网站被黑之前;恢复后要立刻安装更新、修补漏洞，并再次更改所有相关密码。

　　如果没有可用备份，就只能手工清理。这时候不要只删可见的垃圾页面，而要把核心程序文件与官方原版逐一比对，替换被篡改的核心文件，清理异常注入代码、隐藏跳转、恶意 iframe、可疑 cron 任务、后门账号和陌生数据库记录。修复必须覆盖整个站点;只处理部分页面，不足以通过安全复审。

　　对于 WordPress 一类程序站，还要特别注意插件、主题和上传目录。先确认原因，再逐步排查登录权限、文件篡改、主题插件风险、数据库异常和主机环境问题。实操里，过期插件、盗版主题、权限设置过宽，往往比“程序本身有毒”更常见。

　　五、清理完成后，别急着上线，先做复查

　　很多网站之所以反复中毒，不是因为第一次没查杀，而是因为没做复查。在申请安全复审之前，应再次确认页面已经恢复正常，并用更安全的方式去检查页面内容，比如用 cURL、Wget 或 Search Console 的 URL 检查工具，而不是直接频繁用浏览器打开受感染页面。原因很简单：有些恶意代码会针对特定浏览器、特定来源、甚至只针对搜索引擎爬虫触发。

　　复查时建议至少确认这几项：前台页面不再跳转、搜索结果里的异常链接已经失效或已删除、上传目录没有残留可执行脚本、后台管理员账号没有异常增加、数据库里没有被插入的垃圾内容、日志里不再出现同类攻击请求。如果有广告投放或搜索收录，还要顺手检查是否仍被浏览器或广告系统拦截。站点如果因恶意内容进入 Safe Browsing 风险列表，修复后通常需要通过 Search Console 发起申诉或复审。

　　六、网站病毒清理后，如何恢复搜索和安全提示

　　如果网站曾被标记为存在安全问题，单纯把病毒删掉还不够，通常还要主动申请复审。修复所有安全问题后，在“安全问题”报告中点击“请求审核”，并说明你修了什么问题、采取了哪些措施、处理结果如何。不要在问题尚未彻底解决时重复提交，否则可能拖慢后续处理。

　　审核时间并不是立刻完成。Search Console 文档写明，安全问题复审可能需要几天到几周不等。如果此前为了去除垃圾页面做过临时移除，清理完成后还可以请求重新抓取干净页面，帮助搜索结果更快恢复。

　　七、想避免网站再次中毒，后续防护更重要

　　网站查杀病毒，只能解决当下;真正减少复发，还得靠后续防护。网站清理完成后继续关注是否有黑客回流，同时及时更新系统、程序和第三方组件，比如上传功能必须先鉴权，只允许业务需要的文件类型，校验文件头而不是只看后缀，上传目录不要放在可执行上下文里，并关闭上传目录的脚本执行权限。

　　再往细一点说，网站建设阶段就该把安全做进去：后台启用双重验证，删除不用的插件和主题，服务器与网站目录权限不要乱开，应用文件尽量保持只读，上传文件做病毒扫描，定期备份并验证备份可恢复，日志监控不要长期放着不看。用户上传文件应进行恶意软件扫描，应用文件和资源最好保持只读状态，这些都能明显降低再次挂马的概率。