以下是我这几年的经验总结，只说免费方案：

一.干掉源头

确认你的程序是在网上下载的还是熟人做的，如果是网上下载的，你在上线前尽可能用安全工具把代码扫一遍，看有没有后门，这种工具市面上免费的有好几个，比如：D盾等。如果是找人开发的，一般人没问题的话，扫描这一步可做可不做，但是你可以对他的技术安全方面提出质疑，因为国内的很多技术对渗透完全不懂，即使做了五六年，也是那样。所以在安全未知的情况下，你应该做好防护，上waf防火墙。免费动物产品有：宝塔的nginx过滤器，D盾等

二.干掉症状

如果你的项目已经上线了，在使用一段时间后被黑了，你就要分情况解决。

a.如果是数据被删，这种最致命，只如果你自己有备份还好，如果没有，你就只能重来，要么交钱。

b.页面被改，乱码，有博彩信息，涉黄信息，黑链等非法信息，删除后过段时间又出现，这种情况往往出现在cms系统，企业展示站上，dedecms，帝国是高发系统，如果出现此种情况请按以下方法即可解决。

1.先把自己能确认的非法信息全部删除，在用第一步中的工具扫描代码,删除木马，删除完后开启waf，过滤用户参数。注：删代码需要有识别能力，确认代码属于自带还是被黑后增加的。

2.如果上面步骤完了，过段时间再次出现，说明后门没有删完，这种情况下，请再一次上面的步骤删除非法信息，然后清空删除你服务器的访问日志，等黑客上钩，等到状态再次出现时，你只要把日志下载下来进行分析，找到后门删除即可。

日志分析工具：apache log view，虽然名字带apache，但也支持nginx日志，此工具可以购买支持，网上也有破解版

筛选请求日志，找到木马：找到请求状态为200即请求成功的可执行文件，如php jsp 等。切记只要刷选请求成功的即可，那些40*的都是那些黑客扫漏洞产生的日志

筛选日志后，找熟悉系统代码的人依次确认哪些代码不是系统的，删除即可，往往这些后门很容易确认。

删除后门后，记得打上waf，这样一般就没大问题了，但是上了waf后往往会出现误拦截的情况，需要你对路径做白名单了。

1、查看网站页面源码，是否存在与网站内容无关的链接、乱码和文字。

2、登录FTP，查看文件被修改的时间（静态页面除外），是否自己在文件被修改时间段执行过操作？

3、通过各种检测木马的程序检测。

4、按时做网站备份