所謂的掛馬，就是黑客通過各種手段，包括SQL註入，網站敏感文件掃描，服務器漏洞，網站程序0day, 等各種方法獲得網站管理員賬號，然後登陸網站後臺，通過數據庫“備份/恢復”或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得服務器或者網站FTP，然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時，你就會自動的訪問被轉向的地址或者下載木馬病毒。

https://baike.baidu.com/item/%E6%8C%82%E9%A9%AC/91538?fr=aladdin

網站被掛馬，是一件讓解決者很頭疼的事情。一般企業網站被掛馬，現象如下：

· 首頁被掛馬，比如底部，頂部多了一行鏈接，內容多為********，黃賭毒等

· 全站被掛馬——每個頁面同一部位或者不同部位均被掛馬

· 除了網站前臺，就連網站後臺也被掛馬，網站管理員登陸網站後，發現登陸界面亂碼，管理界面被弄的面目全非

企業網站被掛馬的原因：

要想徹底解決掛馬，我們先看看掛馬是怎麽回事。所謂的掛馬，就是黑客通過各種手段獲得網站管理員賬號，然後登陸網站後臺，向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得服務器或者網站FTP，然後直接對網站頁面直接進行修改。當用戶訪問被加入惡意代碼的頁面時，就會自動的訪問被轉向的地址或者下載木馬病毒。

企業網站被掛馬的處理措施：

發現網站被掛馬後，一般是兩個解決辦法：第一是找到根源，堵住根源，因為這條很難辦，無法快速定位病原。大多數情況先從第二條措施做起，比如刪除被掛馬頁面的惡意代碼，先從首頁改起。一個首頁被掛比較容易處理，難處理的是整個網站的前後臺都被掛，更難處理的是，惡意代碼破壞了原有程序，造成不可逆修改。遇到這種情況，就要恢復備份了。如果數據庫也被大量掛馬，數據庫也要恢復原始狀態。

根治的方法要從堵住漏洞做起。

企業網站被掛馬的預防：

1. 定期備份網站

2. 定期觀察網站異常

3. 定期修改密碼（FTP密碼、網站管理員密碼，服務器遠程登錄密碼）

4. 定期給Windows服務器安裝補丁

5. 第三方工具靠不住：360檢測和小陽傘監控，經過親身試用，都不是特別靠譜

http://www.xinnet.com/service/cjwt/idc/guanli/880.html

本文出自 “運維自動化” 博客，請務必保留此出處http://shower.blog.51cto.com/4926872/1974543

信息安全之防護學習路線