网页被篡改（如挂马、黑链、内容替换、恶意跳转等）是常见的Web安全事件。发现越早，损失越小。以下是系统化、可操作的检测与定位方法，按使用场景和技术门槛分类：

 一、快速人工检查（适合非技术人员）

1. 直接访问观察

• 检查页面内容是否出现异常文字、广告、博彩/色情链接、隐藏跳转。

• 在多个浏览器/设备/网络环境下访问，排除本地缓存或DNS劫持干扰。

2. 浏览器开发者工具（F12）

• Elements：搜索 <script>、<iframe>、eval(、document.write，查看是否有未知外部资源加载。

• Network：刷新页面，检查是否有请求指向可疑域名（如短链接、非业务CDN）。

• Console：查看是否有报错或恶意JS抛出的异常。

3. 搜索引擎站长平台

• 百度搜索资源平台 / Google Search Console 会主动提示“网页被黑”“存在恶意内容”或“索引异常”。

 二、文件与代码校验（适合开发者/运维）

1. 哈希值比对

• 对网站核心文件生成 SHA-256 校验和：find /var/www/html -type f -exec sha256sum {} + > baseline.sha256

• 定期执行比对：sha256sum -c baseline.sha256，输出 FAILED 的文件即被修改。

2. 版本控制差异检查

• 若使用 Git/SVN：git status → git diff 查看未授权提交；git log --since="1 week ago" 追踪变更。

3. 备份对比

• 使用 diff -rq /当前目录 /可信备份目录 或图形工具（Beyond Compare、WinMerge）快速定位差异文件。

 三、服务器与日志分析（定位攻击路径）

1. Web 服务器日志（Nginx/Apache）

• 查找异常 IP、高频 POST 请求、非常规路径（如 /wp-admin/、/upload/、/api/）。

• 示例过滤命令：awk '$9 == 200 {print $1}' access.log | sort | uniq -c | sort -nr | head

2. 系统与认证日志

• Linux：/var/log/auth.log 或 /var/log/secure 检查暴力破解、提权操作。

• Windows 事件查看器：安全日志中筛选 4624（成功登录）、4672（特权登录）。

3. 数据库变更

• CMS 类网站重点检查内容表（如 WordPress 的 wp_posts、wp_options），对比最近备份数据。

 四、自动化监控工具（推荐长期部署）

 标准应急响应流程

1. 立即取证：截图、保存当前页面源码、下载被改文件、导出相关时段日志。

2. 隔离与止损：暂时切换至维护页或只读模式，关闭非必要写权限。

3. 定位与清理：通过哈希/备份对比找到被改文件，清除恶意代码（勿直接覆盖，保留样本用于溯源）。

4. 溯源加固：检查漏洞入口（弱口令、未更新插件、文件上传漏洞、第三方SDK），修补后更新所有密码/密钥。

5. 启用防护：部署文件防篡改（Linux 可用 chattr +i 锁定核心文件，配合白名单放行更新流程）、开启 WAF 与定期自动化巡检。

 注意事项

• 不要仅依赖浏览器缓存或单一节点检查，建议从不同地域/网络抓取验证。

• 若涉及用户数据泄露、支付接口被劫持或政府/金融类网站，请立即联系专业安全团队或属地网安部门。

• 防篡改的核心是 “最小权限 + 持续监控 + 快速恢复”，而非事后修补。