公司网站遭黑客攻击 完整应急处置方案

步：紧急止损

1. 立刻切断风险访问

• 临时关闭网站、小程序后台，禁止新增发布、修改内容权限；

• 服务器/云主机紧急限制IP访问，只放行公司办公固定IP；

• 暂停域名解析、CDN 回源，避免恶意流量持续打垮服务器。

2. 锁定现场，禁止乱动

• 不要随意删除篡改页面、木马文件、异常日志（保留攻击证据）；

• 禁止管理员随意修改密码、重装系统覆盖数据，避免证据丢失。

3. 全员权限管控

• 立刻修改：服务器密码、网站后台账号、数据库密码、FTP/SSH密码；

• 下线所有共享账号、弱密码账号，关闭多余超级管理员。

第二步：快速排查攻击类型，定位问题

常见攻击现象&快速判断

1. 页面篡改、挂黑链、跳转到赌博/色情网站 → 大概率：webshell木马、后台弱密码入侵、源码漏洞

2. 网站卡顿、打不开、502/503、流量暴增 → 大概率：DDoS/CC流量攻击

3. 数据库数据泄露、会员信息被盗、数据被删 → 大概率：数据库漏洞、注入攻击、弱密码拖库

4. 后台被登录、恶意删改订单/文章 → 大概率：账号泄露、后台漏洞、后台地址暴露

快速自查项

• 查看服务器异常进程、陌生启动项、定时任务（黑客常留后门）；

• 检查网站根目录、上传目录是否有陌生 php/asp/aspx 可疑文件；

• 查看访问日志、登录日志，筛查异地IP、高频爆破、异常访问路径。

第三步：针对性清理修复

1. 木马/网站入侵（挂马、篡改、黑链）

1. 全盘查杀：服务器安全狗、云服务商杀毒、宝塔防火墙木马扫描；

2. 删除所有陌生后门文件、恶意脚本、加密木马；

3. 还原纯净源码：用原版备份覆盖被篡改的首页、模板、静态文件；

4. 关闭危险目录：禁止上传目录执行脚本权限（最关键）；

5. 修复程序漏洞：升级网站程序、插件、主题，修补已知漏洞。

2. DDoS/CC流量攻击

1. 开启CDN高防、云厂商DDoS防护（阿里云/腾讯云/华为云一键防护）；

2. 限制单IP访问频率、验证码拦截高频请求；

3. 封禁攻击IP段，配置防火墙策略拦截异常UA、恶意请求头；

4. 临时扩容带宽、调整负载均衡，防止服务器资源耗尽。

3. SQL注入、数据泄露

1. 开启数据库防火墙、禁止数据库外网直接访问；

2. 修复代码漏洞：过滤特殊字符、关闭SQL查询；

3. 全量导出备份数据，核查是否有数据丢失/篡改；

4. 若数据泄露，及时做好客户告知、合规报备。

第四步：加固防御（杜绝二次被攻击）

1. 权限加固

• 网站后台修改非常规登录地址，关闭后台公开访问；

• 开启登录二次验证、IP白名单、登录失败锁定；

• 最小权限原则：数据库、网站运行账号不给更高权限。

2. 服务器&环境加固

• 关闭不必要端口：3389、22、21 等非必要端口限制IP；

• 定期系统补丁、关闭无用服务、禁用过期组件；

• 安装防火墙、主机安全防护软件，实时监控异常行为。

3. 数据备份机制

• 开启定时自动备份（网站源码+数据库），异地备份；

• 保留至少7~30天备份记录，便于出事一键回滚。

4. 日常安全配置

• CDN 隐藏真实服务器IP，避免源站暴露；

• 拦截恶意爬虫、漏洞扫描器、恶意UA；

• 定期漏洞扫描、安全巡检。

第五步：证据留存与合规/维权

1. 全程保留：攻击日志、IP记录、篡改截图、木马文件；

2. 攻击造成重大损失：立刻报警 + 联系网络安全部门；

3. 若涉及用户隐私数据泄露，按《网络安全法》《个人信息保护法》完成合规报备。

六、极简应急操作清单（直接照着执行）

1. 封IP、限制后台访问、改全部密码

2. 扫描查杀木马、删除后门文件

3. 纯净备份还原网站源码

4. 开启高防CDN/服务器防火墙

5. 修补程序漏洞、升级插件

6. 配置上传目录禁止执行脚本

7. 开启自动备份+安全监控