服务器被攻击后如何恢复数据?
美国、香港服务器
服务器被攻击后如何恢复数据?
03-30 来源:
服务器被攻击后恢复数据,核心原则只有一条:绝对不要直接在被入侵的系统上恢复,否则后门会再次感染备份,等于白搞。
我给你一套最安全、最通用、实战化的数据恢复流程,不分 Linux / Windows 都适用。
一、先判断:数据还能不能恢复
1)还能救的情况
只是被种木马、挖矿、后门
网站被篡改、文件被加密但没删
数据库还在,只是被注入垃圾数据
有备份(快照 / 备份盘 / 本地备份)
2)基本救不回的情况
被勒索病毒加密,无密钥
硬盘被rm -rf /、dd、格式化
无任何备份
这种只能重装系统 + 重新部署,别浪费时间恢复。
二、安全恢复标准流程(必按顺序)
1. 先隔离,不要直接恢复
云服务器:关机 → 做快照(留证据)
物理机:断网
不隔离就恢复 → 黑客还在服务器里 → 恢复完再次被黑。
2. 找一份 “干净备份”
优先顺序:
云厂商自动快照(最稳)
你自己定时备份的文件 / 数据库
本地下载过的代码包
硬盘未被覆盖的残留文件(最后手段)
只要有备份,就不要尝试在中毒系统里 “抢救文件”。
3. 新建一台干净机器恢复(强烈推荐)
这是最安全、最标准的做法:
新买 / 新建一台干净系统
防火墙只放你 IP,不开公网
把备份传到这台新机
验证文件、解压、部署
测试没问题后,再切流量过去
被黑过的机器尽量直接废弃重装,不要继续用。
4. 从备份恢复具体步骤
(1)网站 / 文件恢复
停止 Web 服务(Nginx/Apache/IIS)
删除被挂马的目录
解压干净备份覆盖
检查权限,不给写入权限
(2)数据库恢复
导出当前脏数据(留底)
新建空库
导入干净备份
检查是否有异常存储过程 / 后门账号
三、没有备份,只能 “抢救数据”(最后手段)
Linux
抢救网站文件:
bash
运行
# 把网站目录整体复制出来
cp -r /www/wwwroot /root/clean_files/
抢救数据库:
bash
运行
mysqldump -u root -p --all-databases > all_db.sql
然后复制到本地,再去干净系统里筛选干净文件。
Windows
复制网站目录、数据库备份文件到本地
用杀毒软件全盘扫描后再使用
四、恢复后必须做的 4 件事(不做必再被黑)
改所有密码系统、数据库、宝塔、Redis、远程桌面… 全部强密码
只开放必要端口80/443 即可,SSH/RDP 限 IP
删除不用的插件 / 主题 / 组件漏洞 90% 来自这里
开启自动备份每天一次,保留 3–7 天
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
