在使用云安全中心后，假如您的网站被黑客入侵，您可以参照以下步骤，进行安全排查。

1. 排查木马

Windows系统用户展开任务管理器会看到异常进程，这类进程的进程名一般不符合英语语法习惯、计算机命名习惯，或者有随机字符串的特征。

•进程名不合符英语语法习惯，如eeosec.exe

•进程名全为数字，如117466363.exe

•进程名具有一定意义上的随机性，如lkdhpec.exe

•进程名具有明显的中文特征，如muma.exe

查看CPU状态会呈现一条很平稳的直线，CPU使用率维持为较高的水位。

Linux系统可以查看/usr/bin/dpkgd目录中是否有ps、ss、lsof、netstat这几个文件。

对于上述几种情况基本可以确定您的机器被黑客入侵，并被植入木马。

建议您联系阿里云安全管家服务进行服务器的全面安全检测，排查漏洞并删除木马。

说明 回滚快照并不会彻底解决问题，因为漏洞仍然存在，黑客仍然极有可能通过该漏洞重复入侵。

2. 排查网站后门

当您收到邮件或是短信提示您的服务器存在网站后门，说明您的服务器已经被黑客入侵，并上传了后门文件，黑客可以操作您的网站或数据库的数据。

您可以通过云安全中心对该后门文件进行隔离，但具体的入侵原因还需要进一步排查，否则黑客还是会通过该漏洞进行入侵。

如果需要排查漏洞点，您可以进一步咨询阿里云安全管家服务。

3. 检查网站是否被屏蔽、被挂黑或存在非法页面

假如您的网站被云盾内容安全提示存在非法页面（黄、赌、毒），该类页面被屏蔽，或是您的网站页面存在异常、未授权的弹框界面等情况，您可以先查看自身网站代码。找出这些 URL 指向的页面文件的位置，查看这些文件代码，确定是否是自己所编写或生产的。

如果不是，基本可以确定您的服务器被黑客入侵，被黑客传入恶意的非法页面或代码。针对这类入侵问题，您可以手动清除这些页面或代码。

说明 该类型入侵是由于您网站的业务系统、代码逻辑或数据库漏洞等非服务器安全问题导致的，回滚快照或重置服务器并不能从根本上解决问题，后续还会存在重复入侵的风险。

要彻底解决这类问题，您可以使用阿里云安全管家服务进行安全诊断、排查。

4. 检查登录服务器的源IP

当云安全中心提示异地登录、黑客登录时，建议您查看登录服务器的源IP是否正常。正常源IP包括内部人员所在地区的出口IP、临时到外地登录服务器使用的外地IP，和使用VPN、VPS的IP登录服务器等。

如果不是这些情况，建议您修改登录密码，使用10位以上，包含大小写字母和特殊字符的强密码。同时，观察态势感知是否还会提示异地登录、黑客登录等。

如果您遭遇的入侵不在上述范围中，建议您详实描述具体情况，并附上相关截图，通过提交工单，联系我们的安全工程师为您处理。