在使用云安全中心后，假如您的網(wǎng)站被黑客入侵，您可以參照以下步驟，進(jìn)行安全排查。

1. 排查木馬

Windows系統(tǒng)用戶展開任務(wù)管理器會(huì)看到異常進(jìn)程，這類進(jìn)程的進(jìn)程名一般不符合英語語法習(xí)慣、計(jì)算機(jī)命名習(xí)慣，或者有隨機(jī)字符串的特征。

?進(jìn)程名不合符英語語法習(xí)慣，如eeosec.exe

?進(jìn)程名全為數(shù)字，如117466363.exe

?進(jìn)程名具有一定意義上的隨機(jī)性，如lkdhpec.exe

?進(jìn)程名具有明顯的中文特征，如muma.exe

查看CPU狀態(tài)會(huì)呈現(xiàn)一條很平穩(wěn)的直線，CPU使用率維持為較高的水位。

Linux系統(tǒng)可以查看/usr/bin/dpkgd目錄中是否有ps、ss、lsof、netstat這幾個(gè)文件。

對(duì)于上述幾種情況基本可以確定您的機(jī)器被黑客入侵，并被植入木馬。

建議您聯(lián)系阿里云安全管家服務(wù)進(jìn)行服務(wù)器的全面安全檢測(cè)，排查漏洞并刪除木馬。

說明 回滾快照并不會(huì)徹底解決問題，因?yàn)槁┒慈匀淮嬖?，黑客仍然極有可能通過該漏洞重復(fù)入侵。

2. 排查網(wǎng)站后門

當(dāng)您收到郵件或是短信提示您的服務(wù)器存在網(wǎng)站后門，說明您的服務(wù)器已經(jīng)被黑客入侵，并上傳了后門文件，黑客可以操作您的網(wǎng)站或數(shù)據(jù)庫的數(shù)據(jù)。

您可以通過云安全中心對(duì)該后門文件進(jìn)行隔離，但具體的入侵原因還需要進(jìn)一步排查，否則黑客還是會(huì)通過該漏洞進(jìn)行入侵。

如果需要排查漏洞點(diǎn)，您可以進(jìn)一步咨詢阿里云安全管家服務(wù)。

3. 檢查網(wǎng)站是否被屏蔽、被掛黑或存在非法頁面

假如您的網(wǎng)站被云盾內(nèi)容安全提示存在非法頁面（黃、賭、毒），該類頁面被屏蔽，或是您的網(wǎng)站頁面存在異常、未授權(quán)的彈框界面等情況，您可以先查看自身網(wǎng)站代碼。找出這些 URL 指向的頁面文件的位置，查看這些文件代碼，確定是否是自己所編寫或生產(chǎn)的。

如果不是，基本可以確定您的服務(wù)器被黑客入侵，被黑客傳入惡意的非法頁面或代碼。針對(duì)這類入侵問題，您可以手動(dòng)清除這些頁面或代碼。

說明 該類型入侵是由于您網(wǎng)站的業(yè)務(wù)系統(tǒng)、代碼邏輯或數(shù)據(jù)庫漏洞等非服務(wù)器安全問題導(dǎo)致的，回滾快照或重置服務(wù)器并不能從根本上解決問題，后續(xù)還會(huì)存在重復(fù)入侵的風(fēng)險(xiǎn)。

要徹底解決這類問題，您可以使用阿里云安全管家服務(wù)進(jìn)行安全診斷、排查。

4. 檢查登錄服務(wù)器的源IP

當(dāng)云安全中心提示異地登錄、黑客登錄時(shí)，建議您查看登錄服務(wù)器的源IP是否正常。正常源IP包括內(nèi)部人員所在地區(qū)的出口IP、臨時(shí)到外地登錄服務(wù)器使用的外地IP，和使用VPN、VPS的IP登錄服務(wù)器等。

如果不是這些情況，建議您修改登錄密碼，使用10位以上，包含大小寫字母和特殊字符的強(qiáng)密碼。同時(shí)，觀察態(tài)勢(shì)感知是否還會(huì)提示異地登錄、黑客登錄等。

如果您遭遇的入侵不在上述范圍中，建議您詳實(shí)描述具體情況，并附上相關(guān)截圖，通過提交工單，聯(lián)系我們的安全工程師為您處理。