被黑站点-全球被黑站点统计官网

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马asp程序管理员的用户名和密码6、不要在网页上加注后台管理程序登陆页面的链接

至此我们已经知道了后门程序一般会隐藏在哪里，那么现在开始要设法找到他们，然后清除他们像删除任何一个文件一样简单，但是难度就在于如何没有遗漏的找到他们，这里给大家介绍一款不错的恶意代码扫描软件，当然是收费的，大家可以有个参考，。

你也可以使用插件来扫描。

搜索目录

如果你对SSH命令行熟悉的话，可以通过SSH登陆进去，然后执行以下命令行：

"php"

通过以上命令行扫描出任何php的文件都是可疑文件，因为目录不应该有任何php的文件存在，所以尽管删除这些可疑的文件就是了。

删除任何没启用的模版文件

文件

有时候一些跳转代码被加入到了文件，仅仅删除那些后门程序文件并没有用，一会就通过文件重建出来了，因此需要在这个文件中彻底清除不该存在的代码。

文件

将这个文件与作对比，删除任何除了自己确认有用的多余的代码。

数据库扫描

厉害的黑客一般都会用多种方式来隐藏他们的行踪，而数据库则是一个非常好的场所，他们可以存储破坏性的PHP函数，隐藏的管理员账号，恶意链接等等，当然如果你不够熟悉SQL，那么上边介绍过的将是你不错的选择，尽管付费，但是相信恢复你被黑的站点值得这点付出。

至此你可能觉得已经彻底清除干净了，别高兴太早了，试试打开一个浏览器，确保你站点未登陆状态下打开站点看看是否恶意代码还会回来？因为好多聪明的黑客很巧妙的让这些恶意代码对登陆过的用户隐身，而只对未登陆访客有效，这样好多时候让时刻在线的管理员无处查找。

如何宣传网站建站必看

1．把己站登陆到各种搜索引擎

这是一个很普遍的推广方式。网络上的搜索引擎何止上千，即使不把英文搜索引擎算在内，仅简体中文版的搜索引擎就不下百个，为此我们除了需要使用或“登陆奇兵”之类专门把网站注册到各种搜索引擎的软件进行登陆外（事实上，我不太赞同使用这种软件，因为这种登陆方式绝对不会比你自己手工一个个去登陆更能成功），更需要自己手工去登陆几个知名的搜索引擎，如！中文、搜狐、新浪、网易、TOM、263、之类是一定要登陆的。

当然由于时间有限，只需要手工登陆这几个知名的搜索引擎就可以了，其他更多的还是采用专门软件进行吧，更何况很多搜索引擎都会互相用程序抓取同行的数据库，譬如你在某个知名搜索引擎登陆成功自己的网站后，过不了多久，你会欣喜地在另一个搜索引擎中，也找到自己的网站（而你却从未登陆过这个搜索引擎），所以抓住访问量高、知名度大的搜索引擎成功登陆才是关键。

值得一提的是，现在很多搜索引擎已开始进行收费登陆了，也就是说如果你不付钱给服务商，那么就别想把自己的网站登陆进数据库。好在目前其只对企业型的商业网站进行收费，个人网站还是能免费登陆的。希望今后别对个人网站也采取收费的方式才好。

同时，为配合各种搜索引擎能更好地查找到你的网站，我建议你还应该在自己网站上手工做好如下工作：

1）页面标题＜＞

就是在浏览网页时出现在浏览器上方标题栏自左上角起的文字，它是一个网站最先被访问者看到的信息。同时，许多搜索引擎在互联网上自动进行网站搜索时所记录下来的就包括了页面标题和关键字等。因此，页面标题对于网站的推广和增加访问者对浏览该网站的兴趣有很大的帮助。在网页中使用页面标题的方法如下：

＜＞

＜＞

＜＞这里添入网站标题＜＞

＜＞

＜＞

2）关键词＜＞

当你的网站被搜索引擎自动记录后，你为网站提供的50到100个关键字就很重要了。因为你的网站将以这些关键字为索引，这样当访问者在搜索引擎进行查找时，使用这些关键词语就能找到你的网站，所以要尽可能地使用所有与网站相关的关键字来描述网站。关键字的使用方法如下：

＜＞

＜＞

＜"这里添入关键字"＞

＜＞

＜＞

3）网站描述

网站描述出现在搜索引擎的查找结果中。网站的描述写的好坏很大程度上决定了访问者是否将通过搜索引擎查找的结果来访问你的网站。因此，网站描述应当覆盖关键字所定义的范围，并且有所侧重，突出网站的重点，着重描述语句对访问者的吸引力。应当提取出20个左右最重要的关键字，根据实际工作中用户最关心的信息和网站所要重点提供的信息，仔细地编写一段包括空格在内不超过250字的描述文字。网站描述的使用方法如下：

＜＞

＜＞

＜"这里添入网站描"＞

＜＞

＜＞

采用此种推广方式典型的个人网站是：E书时空。

E书时空的站长在建立网站的第一天，就将网站登陆到各种搜索引擎：如、新浪、等等，并在其首页的标题栏，关键字中填写了大量的描述文字，使得即使如之类的网页搜索引擎也能第一时间搜索到“E书时空”。

2．交换友情链接

很显然，这也是一种常规的推广方式，个人网站不像商业网站那样有大笔的现金可以“烧”（题外话：现在商业网站也理智很多了），但可以团结起来，与兄弟网站进行友情链接的交换工作，这些链接可以是文字形式的，可以是88×31小图标形式的，也可以是468×60大广告条形式的，当然还可以是图文并茂或各种不规则形式的。

只要交换双方达成默契就好，A网站在B网站做了友情链接，B网站也应在A网站做相应时间、形式的友情链接进行回报，这就是这种推广方式的宗旨。

而友情链接的推广效果取决于三点：第一是要广，大规模和其他网站交换链接才可能使自己站点曝光率大增；第二是要质，和流量高、知名度大的网站进行交换；第三是要把自己的网站链接挂在对方的显著位置，这点是要看你与对方站长的关系决定的，譬如在一个网站首页上挂满了其他网站的文字链接，而唯独你一家是图标链接的，自然就会更引人注目了。

而所谓什么首页链接、合作伙伴链接、策略联盟链接等无非就是站长与站长间交情程度深浅的直接体现罢了。

采用此种推广方式的典型个人网站是：网络新时代。

其实很多刚冒出来的新网站，都会在建站初始大量使用交换友情链接的推广方式，但是在我的印象中采用此种推广方式，最成功的案例，当属“网络新时代”。当时其站长陈杰向各类个人站、商业站都发去了诚恳地交换链接的信件，使得大家纷纷为其站点建立友情链接。网络新时代的首页自然也挂满了五颜六色的和文字链接，但是带来的后果就是使得网站浏览速度有所下降，不过人气指数却在节节上升。

3．参加各种排行榜及评选活动

很多大型网站开设了个人站点的各种排行榜及评选活动，譬如各种访问量统计系统就是一个免费的宣传途径，而专门的品评网站更是义务为其网站宣传的好地方。当然各类商业网站或专业站不定期举行各种网页评比大赛、网站TOP10之类的活动，不但提高访问量，更是站长成名的好机会，多多参加这类比赛吧，你的站点一定会被更多人知道的。但请牢记一点，要宁缺勿滥，有些排行榜、评选网站其自身的访问量每天连100人也没有，那你还花自己宝贵的时间去参加这种组织干嘛？

采用此种推广方式的典型个人网站是：小鱼儿乒乓世界。

小鱼儿乒乓世界如今是大名鼎鼎的乒乓球网站。在其建站初期，曾大力参加过各种评选和排行榜活动，并从中获益匪浅。

4．推广

这是最不需要花钱和时间的推广方式了，你可以采用传统群发的方式，也可以在自己的网站上，开设一个订阅电子杂志（邮件列表）的功能（这样既丰富了你网站的内容，又可以使你迅速积累固定的推销对象），但切记这种推广方法，只能对你所熟悉的朋友使用，如果你随便向自己不认识的而且没有订阅过你电子杂志的网友发送宣传自己主页的话，就是一种发送垃圾信的行为了。

其后果，不但使你口碑大降，而且会被人家列成黑名单终身不去访问，甚至还可能遭到邮件炸弹的报复。发送推广方式成功的关键是你发送邀请别人访问自己的广告信，写得要有诚意，而且最好你的网站所提供的信息内容正好是收到这封信的网友所需要的。更重要的一点是这种推广方式使用一次即可，不要多（对于发送电子杂志则不受限制）。

5．在各种留言簿、论坛、聊天室、新闻组发布信息引人注意

对于个人网站推广方式总是要抱着一种不花钱或少花钱，却能办成事儿的态度，这种在各个留言簿、论坛或其他交互地点发布广告信息的推广方式就是免费的。具体方式想必大家也都清楚了，但需要记住两点：一是要找人气旺、质量高的论坛或留言簿发布信息；二来要注意别让自己是来做广告的这个目的太明显，因为这样不但会引起论坛网友的反感，也可能会被版主删除贴子甚至封帐号。

你完全可以潜移默化地进行推广，譬如探讨某个问题的同时，把自己的网站地址留下来，或者干脆把广告做在你的论坛签名中。记住不要老是写“欢迎光临我的主页”之类的话，应多与网友进行诚意的交流，在适当地方提一下自己的网站地址和内容就可以了。而且当你真正去这样做的时候，会发现不但有越来越多的人愿意访问你的网站，更能结识到不少朋友，何乐而不为呢？。

采用此种推广方式的典型个人网站是：我看看中文网。

这种推广方式的网站不计其数，这里姑且将笔者的一位朋友的个人站点罗列在内吧。我看看中文网现在是访问量超过1万人日的优秀情感文学类个人站点，当初在推广时，曾在各种知名的IT网站，潜移默化地做了些软广告，事实证明其效果不同凡响。

6．网站自己搞在线活动进行推广

可以自己搞活动，也可以和其他网站合作开展活动，譬如你是一个设计网站的，那么完全可以开展一次如“某某网站大比拼”的活动，这样不仅增加了网站的交互性和亲切感，更使自己的网站能在短时期内快速增加注册会员数、访问量并提升网站知名度。但要记得如果这种活动是大规模的，或是网下配合进行的，那么你就要付出一定的物质代价了，而如果与人协办或在网上进行的，那么还是个人网站所能接受的。

采用此种推广方式的典型个人网站是：IT写作社区。

这款个人网站于千禧年初推出，现在已成为最有粘性和影响力的IT网站之一。究其原因是因为网站建设团队经常搞各种在线活动，譬如隔三差五的网下聚会、网站征稿、征文等。

7．在各种媒体上发表文章

显然，这不是任何一位站长都能做到的事，但你未尝不可一试呢？主动向一些IT报刊杂志投些稿，你的文章不必写得很专业，很具文采，只要通顺并能说清一件事就好。在文章末尾提一下自己的网站，或把自己的网站当作案例体现在文章的字里行间，这样不但你自己可以收到稿费，而且你的网站也会被更多人知道。

采用此种推广方式的典型个人网站是：游趣网。

骨灰级的综合游戏网站，游趣网（原“天骄游戏时空”）就是此种推广方式的忠实拥护者，网站成员几乎人人会写文章，并与各种传统平面媒体搞好关系。使得在写文章得稿费的同时，也为网站的推广添砖加瓦。

8．多结实朋友

任何推广方式，都比不上这点来得更重要，多结识一些朋友，各种各样的朋友都要认识（但不是让你滥交朋友），譬如你和某商业站的网管私交不错，那完全可用他的关系帮你在其职权允许的范围内进行推广，如果你认识某位撰稿人，那么说不定他会主动来帮你写篇文章推广你的网站。

采用此种推广方式的典型个人网站是：华军软件园。

华军现在俨然已成为众多个人网站的偶像，但是他如今的成功得自于其自身的口碑和人缘。因为从他上网那年开始就不断结实各种网上的朋友，加之其本人为人亲切，网站制作也的确精良，久而久之就有大批的朋友愿意帮他的软件下载站作推广了。

作为一个站长，如果你能深谙上述推广之道，将会为网站带来知名度的同时，提高访问量，当然还有成为品牌个人站点的可能。不过相信任何人都明白，只有在丰富自己网站内容和提升站点特色的前提下，你的个人站才可能长盛不衰、人丁兴旺。切勿一心推广，本末倒置了。

在保密你的服务器和数据，防备当前复杂的攻击，有你需要的一切。但在你能有效使用这些安全功能前，你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础，因此你可以对里的安全功能充分利用，不用在面对特定威胁，不能保护你数据的功能上浪费时间。

从让人眼花缭乱的客户端使用连接，通过到处分布的网络，尤其是互联网，关系数据库在各种应用程序里广泛使用。这使数据对任何人，在任何地方都可访问。数据库可以保存人类知识的很大部分，包括高度敏感的个人信息和让国际商务工作的关键数据。

对于想要偷取数据或通过篡改数据来伤害数据的拥有者的人来说，这些功能使数据库成为有吸引力的目标。确保你的数据安全是配置和使用它来保存数据的程序的重要部分。这个系列会探寻安全的基本，这样的话你可以保护你的数据和服务器资源，按你需要的安全等级来保护数据，免受这些威胁对你数据的影响。大部分信息对的早期版本也适用，回到也可以，因为那是微软在产品里彻底检查安全的时候。但我也会谈论只在和后续版本里才有的功能。

在保密你的服务器和数据，防备当前复杂的攻击，有你需要的一切。但在你能有效使用这些安全功能前，你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础，因此你可以对里的安全功能充分利用，不用在面对特定威胁，不能保护你数据的功能上浪费时间。

威胁

在理解如何配置和使用来保护你的数据，识别特定数据集和它的服务器的威胁是重要的第一步。你创建的用来管理你的小学足球队的设备清单很可能不需要严格的安全措施。很可能你会想提供最小的访问控制，这样的话，足球队成员不能随机修改他拥有哪个足球盒的记录。即使这些数据被盗或篡改也不会是世界末日。

另一方面，如果数据库有关于足球队孩子的个人信息，例如家庭地址和联系，很可能你想加强安全保护（或许法律上也要求你这么做）。可能你会通过隔离访问来保护数据的隐私，这样的话，几乎任何可以访问数据库来修改设备数据，但只有一些人可以访问个人数据。如果数据包括家长的信用卡号，你会需要极其小心的保护那个数据。

你的数据很容易受到很多威胁，下列清单是常见的几个。在网络上有很多资源可以针对你的特定情况帮你分析。这个清单只想帮助你开始考虑这些威胁，如何使用的功能来应对它们，或者至少减少暴露数据给他们。

数据窃取：数据窃取包括各种对你数据的未授权访问，无论通过黑入你网络的外界人员，还是在重要人物上非法扫描的内部人员。它会涉及到读取到禁止信息的兴奋，或者被通过销售窃取的信用卡号的利益所驱动。数据破坏：获的你数据访问权限的可以修改它，它会带来一系列的问题，包括关闭你的所有业务让你在公众面前尴尬（当你所有的客户记录被删除时就会发生）。

数据篡改：在关系数据库里存储数据的一个最大好处是数据库本身可以帮助保护数据的完整性。数据完整性包括每个订单有关联的客户，在日期列存储的日期代表日历上的日期，百分比字段只包含0和100之间的值等这些约束。当你考虑安全的时候，数据完整性不会是第一个想到的，但却是你的数据保护的重要部分。非法存储：在过去，在商业过程期间，你收集的数据只是你个人的事。

但选择在美国，遍及欧盟和可以控制你存储的各种个人信息，你如何存储它，你如何保护它的其他国家里的都有对应的法律存在。违法的处罚是严格的——包括罚款和对你公司的公共形象损失费。

这个系列文章谈到的的功能可以帮你缓解这些各类威胁和其他方面。你必须理解对你数据的威胁，才可以知道如何保护它们。不要在不能防止你特定数据威胁的措施上浪费时间。你永远不能考虑到所有的假设情况，但最为最坏的情况你要保证你的数据库服务器对它的面向客户是完全不可用的。安全总是个妥协，对时间的风险和实现保障的必要金钱之间的平衡。

安全设计理念

早在年，比尔盖茨发布了他臭名昭著的计算机可信备忘录，即微软在产品里如何考虑和实现安全的，可以证明是个转折点。根据微软官方网站，可信计算机政策启动了。“基于良好的商业实践，专注创建和带来安全，隐私和可靠的计算体验。我们的目标是更安全、更可信的互联网”。

话句话说，微软在十多年前就变得非常安全。关于这个修改的第一个版本是，微软开始在产品考虑充分的安全。自那以后，的每个版本都会保留新的安全架构，同时加强它，增加新的功能来同时提高安全来应对新出现的威胁。

如微软在时期里所描述的，通过定义产品安全的四大支柱来影响可信计算发展。

安全设计：微软进行广泛的威胁分析和代码设计与交互的安全审计，来确定攻击者可以立足获得服务器和数据的地方。这样让微软设计的可以保护你在服务器上存储的数据的保密性，完整性和可用性。默认安全：创造性的默认安装并激活关键的核心数据库组件。这就是说不是核心的数据库的功能不会安装，或者安装之后不会启用。没有安装的功能不安装就不会作为攻击目标。你必须清醒意识安装或启用的非核心功能。

这会阻止你可能不知道却安装功能的很多攻击，你以为从未用过它们。部署安全：微软提供工具，支持安装的安全并保持它的安全。SQL服务器配置工具帮助你配置服务器安全。最重要的是，的更新已经是微软在线更新的一部分，因此很容易获得安全的更新和补丁。互动安全：微软已经建立了完善的基础设施来手机它产品中的漏洞。但这些信息如果只留在微软内部的话是没有任何用处的。

因此公司致力于新漏洞的互动，积极打补丁来修正它们，定期发布更新到它的在线帮助系统来体现新的安全信息。

“它是安全的”的理念已经影响了整个产品。尽管一打开就是相当安全的，当你创建数据库和安装服务时，你必须做出明智的安全选择来保持的安全。作出并保证生产数据库服务器的安全需要行动和警惕。

记住有时候保护数据的最佳方法是直接不把它不放到数据库里——例如，只保存你必须绝对坚持有效的信用卡信息这样的人并不多）。如果你没有这样的需求，你应该处理信用卡事务，保存结果，而不是信用卡信息本身。你不会承受你没有数据上的安全风险。

安全的2个阶段

的安全模型，像一样，是个2个阶段的过程，允许用户和其它登录的访问服务器里受保护的资源。

身份验证：一个用户登录成功，是有效的，可以访问服务器。身份验证回答问题，“你是谁？“需要用户去证明它，通常需要用户提供用户名和对应的密码，但其它形式的证据变得更加流行。授权：用户可以和对象互动——例如数据库，表和存储过程——哪个用户有权限。授权回答问题，”你可以做什么？“。

用户可以登录到，但除非它们有权限做什么，例如访问数据库，它就做不了什么。因此你不仅需要为你的用户提供授权凭证，你还要授权它们访问数据，在每个它们需要使用的数据库里为它们授权一次，定义账号。

当你考虑它的时候，在每个数据库里需要一个用户账号更有意义。不然的话，什么可以阻止用户登录到并可以访问想访问任何数据库。这个概念有不同的含义来实现不同的场景，但这是安全的基本状态。

在这个系列的接下来文章会谈到验证和授权，你会学到在里如何实现各种安全功能来应付你对数据已经识别的威胁。

安全术语

当你与和其它产品打交道时，你会碰到各种特定的专业术语。这里有一些最常见的术语，还有在数据库安全上下文里它们的含义。

验证：如上面提到的，验证是积极识别一个人的过程，通过需要证明它是可以登录的人。它回答问题：你是谁？

授权：一旦系统验证你为一个有效用户，授权（如上所述）决定用户在服务器或数据库拥有的权限。它回答问题，这里现在你能做什么？

组：在里，组是已登录后与它关联的主体。任何授权到组都会授权到组里相关联的登录。

模拟：所有的进程，包括各种进程，在特定的安全上下文里运行，通常是主体引起进程启动。当进程临时在不同的安全上下文时会发生模拟。这是非常强大的切必需的能力，但会引起潜在的滥用。

登录：登录是拥有服务器实例里的对象一些访问级别的主体。通常，登录常用来与用户交互。但是登录是一个用来从外面访问服务器的账号。有时候登录包括访问服务器级别的对象，例如配置信息，但不会授予数据库里的任何权限。许可：许可是访问保护资源的权利，例如从表读取数据或在服务器级别创建新的数据库。一个学科通常意味着其他许可，取决于对象许可的范围。主体：主体是可以接收访问里保护资源的任何用户或代码组件。

权限：权限是主体拥有的广泛权利和许可。这个词有时候和许可交替使用，通常意味着特定、狭义的权利。权利意味着一组广泛的许可。角色：角色类似于用户组，但只限于实例范围。对于一个组，你可以分配登录和用户到角色，这就是这个角色拥有登录和用户的所有许可。

用户：用户是在特定数据库里拥有对象的一些访问级别的主体。用户通常会映射到登录。简单来说，登录可以访问实例，用户可以访问数据。

在这个系列的文章里你会看到大部分这些术语的使用。

安全管理和实现

正如里大多数操纵和管理任务，通常安全功能几乎都有很多管理和实现方法，包括使用的图形界面，编写和执行代码，使用在命令行编写与进行交互。使用已经不是本系列文章的讨论范围，但在这个系列文章里，你会看到另外2个技术的很多例子。

使用的安全功能，通常你可以在对象浏览器里右击合适的对象，选择属性，然后在对话框里使用合适的页来做你想要的修改。例如，在示例数据库上设置安全，在对象浏览器里右击数据库名，选择属性，然后选择权限页，如插图11所示。

插图12：用来修改数据库安全的权限页

同时在数据库和服务器级别，对象浏览器包括了安全节点，让你管理和实现其他各种安全功能。插图12显示了对数据库和服务器实例级别的这个节点。这2个高亮的节点包括各种子节点，给你在选择范围内访问合适的安全对象。

插图12：在对象浏览器里，在服务器和数据库级别的安全对象

你会在和它各个窗体里找到各种隐藏的安全功能，因此你可以好好点开这些安全性节点。

在彻底安检里另外一个改变是可以允许更颗粒度的方式分配安全。在接下来的文章里你就会学到，你会对各种主体分配各种许可来实现“最小特权”的重要安全原则——这个想法是每个主体只能有它们需要的许可：不多也不少。随着这个改变，微软增强了，在语言上有强大的支持，可以直接操纵安全对象。

代码11展示了你可以使用创建安全对象的简单例子。代码首先创建链接到现存系统登录的服务器级别的登录。然后在数据库里，代码创建了个用户映射到登录，分配了默认架构给用户。最后的一点代码向你展示了你如何在数据库里删除用户和创建另一个用户映射到同样的登录。很作秀，当然，但是它展示了在代码里你能做什么。或者你也可以在的图形界面里实现，如果你喜欢的话。

代码11：创建服务器登录和数据库用户的示例代码

如果你想运行这个代码，首先你要做些改动。除非你的计算机名称和我的一样，且有一个的用户存在，你需要在代码里修改名称。这个代码在数据库创建数据库用户，并使用它的架构，因此你要么需要安装这个数据库，要么修改代码使用另一个数据库和它里面存在的架构。但我还是建议你安装数据库，因为接下来的文章会频繁用到它。

小结

这个系列的第一篇文章给你概括介绍了里的基本安全概念。你学到了一些常见的数据威胁，探寻了背后的设计理念。你学到了安全的2个阶段——身份验证和授权，学习了在整个系列文章看到的一些安全术语，目睹了你可以使用图形界面和代码来管理和实现安全。

在下一篇文章里，你会学到里身份验证如何工作和身份验证可用选项的更多信息。

原文链接：