1.通過分析WEB日誌並結合其他一些線索來對攻擊者進行追蹤（web日誌不僅僅查一個網站的，而是整個伺服器上的網站的web日誌都要查）。

2.馬上修改檔案許可權，儘可能小。   修改後臺帳號密碼。修改mysql管理密碼。修改ftp帳號密碼。加固防火牆。檢視linux使用者，刪除或鎖住無用的使用者。必要時要修改root密碼

3.搜尋PHP中的掛馬檔案（搜尋方法在其他文章）。刪除。必須要找到位置。因為即使知道黑客怎麼進來的，也不知道木馬在哪裡，黑客可以通過一個程式漏洞，去修改其他程式

4.分析木馬是怎麼掛進來的，否則刪除掉木馬一樣沒用，黑客照樣會以同樣的方式進來。

5.找到具體木馬位置，確定檔案被修改的時間截，根據時間段來查詢web日誌，縮小查詢範圍，確定黑客從哪裡進來

具體分析黑客從哪裡進來

我們可以通過分析WEB日誌中是否存在特定的攻擊特徵來區分攻擊者和正常使用者的訪問行為。

1）當有人對網站進行SQL注入漏洞探測時，WEB訪問日誌中通常會出現如下日誌

2）將資料提交方式為“GET”的日誌提取出來。

如下圖：

這是典型的SQL注入。經過進一步分析，發現攻擊者利用SQL注入獲取到了網站後臺管理員賬號和密碼。

通過上面對WEB日誌進行的安全分析，我們不僅追蹤到了攻擊者，也查出了網站存在的漏洞。下面就應該將攻擊者上傳的後門檔案刪除掉，並修復存在的安全漏洞，然後對網站進行全面的安全檢測，並對WEB伺服器進行安全加固，防止此類安全事件再次發生。

3）

可按以下關鍵字串搜尋

post  

###########################

GET

4）

定期掃描，定期搜尋PHP掛馬關鍵字，找異常檔案，定期全面檢查伺服器漏洞

借鑑：http://www.rising.com.cn/newsletter/news/2013-03-20/13380.html