网站被人挂黑链

今天下午左右，首页让人挂了不少的黑链，现在已经删除，初步检测结果是让人知道了FTP权限，而FTP权限估计是因为服务提供商的数据库被人已经拿到了。

因为官网贴出15号被人大量的DDOS，可能跟这个有关，弄到了权限，然后挂一些小马，弄到webshell权限，然后来进行编辑主页，这里要提供大家的是，一定要检查里面多出的文件，一般都是echo提权，把程序下载下来，然后利用DW进行全目录式的扫描。就拿查出那边上传了哪一个文件。

另外就是通过日志来分析，比如今天他修改的是index.php主页文件，我在日志里面搜索get index.php然后找到那个IP地址，然后进行更加全面的分析。就知道他什么时候登陆，什么时候离开，干了一些。

如果是国内IP，然后把这些纪录提交到提供商，然后让提供商直接提交公安局。

在这里感谢群好友，dear,张德帅的第一时间通知，由于没有今天的日志，所以暂时追踪到，追踪到了我会第一时间公布IP。现在时间是16：58，下午16：05分之后的文件修改都是博主在操作，其它操作都是黑客行为。