网站被黑是每一位站长最不想面对的时刻，但请先深呼吸，保持冷静。慌乱是解决问题的大忌。

根据最新的网络安全应急响应标准和《网络安全法》要求，一旦确认网站被黑，你需要立即启动**“止损 -> 排查 -> 清除 -> 恢复 -> 加固”**的五步闭环流程。

以下是为你整理的详细行动指南：

第一阶段：紧急止损（立刻执行）

发现异常的第一时间，目标不是“修好”，而是“防止扩散”。

1. 物理隔离（断网）：
   • 立即将受影响的服务器从网络中隔离，或者停止Web服务（如Nginx/Apache）。
   • 如果无法停机，启用“维护模式”页面，切断用户访问，防止黑客继续窃取数据或攻击访客。
2. 保留现场与备份：
   • 千万不要直接删除文件！ 黑客留下的文件是溯源分析的关键证据。
   • 对当前的系统文件、数据库、日志文件进行全量备份，并存储到安全的离线位置。
3. 修改所有凭证：
   • 立即修改服务器root密码、数据库密码、FTP/SFTP密码、后台管理员密码以及云平台控制台密码。确保新密码是高强度的（大小写+数字+特殊符号）。

第二阶段：排查与溯源（找出病因）

在清理之前，必须知道黑客是怎么进来的，否则修好了也会被再次入侵。

1. 分析日志（关键线索）：
   • 检查Web访问日志（access.log）和错误日志。重点查找攻击发生时间段内的异常IP、高频请求或可疑的POST请求（如上传文件、SQL注入特征码）。
   • 检查系统日志（如Linux的 /var/log/secure），查看是否有暴力破解或异常登录记录。
2. 查找恶意文件（Webshell）：
   • 时间戳比对： 查找最近被修改或新增的文件。例如使用命令 find /var/www/html -mtime -1 查找最近24小时变动的文件。
   • 特征扫描： 使用专业的网站安全工具（如D盾、河马Webshell查杀、Cloudflare等）扫描网站目录，查找隐藏的木马文件。
   • 关注高危目录： 重点检查 uploads（上传目录）、tmp（临时目录）以及根目录下的隐藏文件（如 .htaccess 是否被篡改）。
3. 检查数据库：
   • 查看管理员表中是否被植入了新的超级管理员账号。
   • 检查核心内容表，看是否被插入了恶意跳转链接（如博彩、色情链接）。

第三阶段：清除与恢复（彻底大扫除）

1. 清除恶意代码：
   • 根据排查结果，删除所有确认的恶意文件。
   • 如果是被篡改的合法文件（如首页 index.php），用干净的备份版本覆盖回去。
2. 数据恢复：
   • 最稳妥方案： 格式化服务器系统盘，重装操作系统，然后从干净的备份（确认未被感染的备份）中恢复数据和代码。这是最彻底的方法。
   • 次选方案： 如果无法重装，必须确保所有漏洞已修补、后门已清除后，再恢复业务。
3. 修复漏洞（亡羊补牢）：
   • 打补丁： 升级CMS系统、插件、主题到最新版本。
   • 修补代码： 如果是代码漏洞（如SQL注入），必须联系开发人员修复代码逻辑。
   • 权限收紧： 确保上传目录没有“执行”权限，禁止PHP等脚本在图片目录运行。

第四阶段：对外沟通与合规（避免法律风险）

1. 通知相关方：
   • 如果用户数据（如密码、个人信息）可能泄露，需按照法律法规要求通知用户修改密码。
   • 如果是被搜索引擎标记为“危险网站”，清理完成后需通过Google Search Console或百度站长平台提交申诉，申请解除拦截。
2. 法律合规报告：
   • 根据《网络安全法》，发生网络安全事件时，应当立即启动应急预案，并按照规定向有关主管部门（如网信办、公安机关）报告。不要试图隐瞒，否则可能面临行政处罚。

第五阶段：后续加固（防止复发）

1. 部署WAF（防火墙）： 接入云WAF服务，拦截常见的Web攻击流量。
2. 开启多因素认证（MFA）： 后台登录强制开启二次验证。
3. 定期巡检： 建立定期备份和日志审计机制，不要等到出事了才发现。

应急响应速查清单

特别提醒： 如果你对技术细节不熟悉，或者攻击造成了重大损失（如数据大量泄露），建议立即联系专业的网络安全公司或服务器提供商寻求协助，不要盲目操作导致证据灭失。