1.通过分析WEB日志并结合其他一些线索来对攻击者进行追踪(web日志不仅仅查一个网站的,而是整个服务器上的网站的web日志都要查)。
2.马上修改文件权限,尽可能小。 修改后台帐号密码。修改mysql管理密码。修改ftp帐号密码。加固防火墙。查看linux用户,删除或锁住无用的用户。必要时要修改root密码
3.搜索PHP中的挂马文件(搜索方法在其他文章)。删除。必须要找到位置。因为即使知道黑客怎么进来的,也不知道木马在哪里,黑客可以通过一个程序漏洞,去修改其他程序
4.分析木马是怎么挂进来的,否则删除掉木马一样没用,黑客照样会以同样的方式进来。
5.找到具体木马位置,确定文件被修改的时间截,根据时间段来查找web日志,缩小查找范围,确定黑客从哪里进来