只刪除可疑檔案通常不夠;需要保留時間線、確認受影響範圍、修補入口並輪替憑證。
先避免持續擴大
若網站正在散布惡意內容,可暫時限制公開存取或切換維護頁。不要立刻覆蓋所有檔案,否則可能破壞時間戳、日誌與後續分析證據。
保存必要證據
備份目前檔案、存取日誌、錯誤日誌、排程工作、帳號清單與 DNS 紀錄。記錄第一次發現時間、異常網址與瀏覽器警告。
找出入口而不是只找惡意檔
檢查弱密碼、過期套件、外掛漏洞、未受保護的上傳、外洩金鑰與主機帳號。若入口沒有修補,清理後很可能再次被植入。
復原與後續
從可信備份重建、更新所有元件、輪替主機與管理帳號憑證、撤銷不明金鑰,重新提交搜尋引擎安全審查,並持續觀察日誌。