網站疑似被掛馬了 怎么辦？

470342341

網址    /forum.php?BMID=187808263.pptx
正常訪問 內容沒問題
但是使用360 魔變 模擬  百度蜘蛛 訪問 就是 色情內容了。   怎么辦？

我知道答案 回答被采納將會獲得1 貢獻 已有14人回答

crx349

官方文件恢復下 未知文件備份后清理掉 作下服務器安全

allthebest

若存在，處理前，先卸載所有盜版插件與模版。

進discuz后臺找到工具-文件校驗，看下最近有哪些php文件被修改了。

1、排查網站源文件的php 文件，查看是否有出現IP地址、或者異常網站（上面跳轉的網站），如果有刪除就可以了。

2、排查網站源文件的php 文件，查看是否有如下代碼：@include($_SERVER['DOCUMENT_ROOT']

（排查一般用WEBshell后門掃描軟件掃描核查！）

如果有就刪除此段代碼。并把該段代碼進行解密。

舉例：@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));

需要解密的代碼為：2F646174612F6176617461722F30

解密后為：/data/avatar/0

代碼解密地址：http://www.bejson.com/convert/ox2str/


意思就是在上述路徑下存在被非法上傳的文件，用于做快照劫持。

解決辦法：刪除上面的代碼和文件即可。

掛馬問題解決了后，記得更改服務器相關的各種密碼，盡量設置的復雜一點。

好佳芯科技

可以協助清理木馬病毒q276440802

鴻茂傳媒

可以協助處理木馬病毒 Q475305268

cbx

我之前也是被這個困擾幾個月，后來用最土的方法，刪除uc_server目錄的，admin.php和index.php文件，需要用到的時候，再上傳。就沒有再被掛過馬了。

fujie1982

好佳芯科技 發表于 2020-9-11 08:27
可以協助清理木馬病毒q276440802

如果有馬什么價格？

fujie1982

allthebest 發表于 2020-9-11 01:55
若存在，處理前，先卸載所有盜版插件與模版。

進discuz后臺找到工具-文件校驗，看下最近有哪些php文件被 ...

看了一下，整個論壇好像就你一個熱心會員了。哎。我的網站最近不知道怎么回事。有時候輸入別人的域名也可以訪問我的網站。有時候別人的域名又打不開。我擔心是不是中馬了。護衛神查了一下。把疑是文件替換了。用護衛神再查還是有可疑文件。

好佳芯科技

可以加我Q276440802，給你排查一下

allthebest

fujie1982 發表于 2020-9-13 08:16
看了一下，整個論壇好像就你一個熱心會員了。哎。我的網站最近不知道怎么回事。有時候輸入別人的域名也可 ...

應用中心插件與模版，安裝都不會加入代碼到PHP文件；

有時候輸入別人的域名也可以訪問我的網站：做成這問題，應是別人的域名與你的站點安裝有相同插件或模版。

有時候別人的域名又打不開：做成這問題，別人的域名已清理了插件或模版后門。