网站被黑原因及查找网站程序后门的方法

1、网站被黑挂码主要有三个原因，分别为服务器安全问题、服务器运行环境问题（概率较少）、网站程序安全问题（概率较高）。

2、网站程序安全问题主要由两方面造成
1）程序本身问题；
2）使用的非官方开源程序，被别人植入了漏洞程序。
3、怎么查找网站后门漏洞
当发现网站被黑挂码，有大量违规乱七八槽的页面，记住不要马上删除，查看这些违规页面生成的时间，然后再查找与违规页面同一时间的木马程序。

例如，你有找到违规页面40000.html，这个文件生成时间为“2021-04-10”，如果你的网站服务器系统为window系统，那么你就可以使用window系统自带的功能来查找同一时间内的木马程序，查找方法如下所示：

*.php 修改日期：‎2021/‎4/‎10
//*代表查找所有以php后缀结尾，2021年4月10日生成程文件，.php后缀也可以改成其它的程序后缀，例如.asp .jsp。

如果你的网站服务器系统为linux系统，linux命令查找方法如下：

find /www/ -name ‘*.php’ -newermt ‘2021-04-10’ ! -newermt ‘2021-04-11’
//查找www目录下以.php为后缀，创建于2021年4月10日至2021年4月11日的所有文件，.php后缀也可以改成其它的程序后缀，例如.asp .jsp。

如果你的网站有木马文件，一般都会搜索到一个或多个木马程序，到了这一步还没有结束，现在还不能删除这些木马程序，因为现在仅仅只是找到了木马程序，还并没有找到程序后门漏洞。

4、寻找网站后门漏洞和其余的木马程序
程序后门漏洞一般不会只留一个，一般会在不同文件、不同目录、不同深度留下多个程序后门漏洞，那么这种情况我们要如何查找程序漏洞呢？
查找程序漏洞，可以通过两种方法，一种通过上述方法搜索木马程序文件名称，另一种是通过网站log日志文件查找，建议大家通过网站log日志文件查找木马程序。
（为什么利用木马程序生成时间进行查找呢？因为搜索木马文件创建时间只能搜索到木马程序，并不能找到程序后门漏洞。）
查找到木马程序文件名后，例如ad7ad456.php，在网站日志中找到这个木马文件的IP地址，假如IP地址为125.79.18.82，通过此IP地址查找此IP访问了哪些文件，一般访问的第一个文件基本就是网站漏洞程序，其它都是植入的木马程序，如下所示：

/mamber/user.php
/images/aadad.php
/news/asd789a4d9.php
/p1us/ad7ad456.php

到了这一步，我们就可以删除所有违规页面了，避免黑客在网站留下更多的木马文件，后门漏洞程序如果是开源CMS程序，建议去百度搜索下“XXXcms /mamber/user.php 漏洞修复”，一般都可以找到答案，如果网站程序不是CMS程序，是请人开发的，那就需要找程序开发人员了。
注意，有些空间商把log日志功能关掉了，因为log日志存储空间大。例如nginx网站web服务器，就可以设置不记录静态资源日志记录和蜘蛛访问记录，只记录动态程序记录，这种情况大家可以使用服务器系统自带的计划任务，清理老的日志文件。
5、删除完违规页面后，生成了大量死链接，要如何操作呢？
1）统计整理被删除的所有违规页面链接，并设置成404死链接，再把这些死链接提交给百度；
2）使用robots.txt屏蔽所有404死链接。
网站被黑挂码导致的网站关键词排名下降，多久可以恢复？对于这个问题，并没有一定固定的答案，短则几个星期或几个月时间不等，长则一年，甚至更久，因为如果这个恢复时间很短，就会被别人恶意利用，所以惩罚力度必须是严重的，站长们可以多多更新优质原创内容来提升搜索引擎对自己网站的评分来缩短这个时间。

内容来自百度站长论坛，问题原回答者：毕文权