网站疑似被挂马了 怎么办？

470342341

网址    /forum.php?BMID=187808263.pptx
正常访问 内容没问题
但是使用360 魔变 模拟  百度蜘蛛 访问 就是 色情内容了。   怎么办？

我知道答案 回答被采纳将会获得1 贡献 已有14人回答

crx349

官方文件恢复下 未知文件备份后清理掉 作下服务器安全

allthebest

若存在，处理前，先卸载所有盗版插件与模版。

进discuz后台找到工具-文件校验，看下最近有哪些php文件被修改了。

1、排查网站源文件的php 文件，查看是否有出现IP地址、或者异常网站（上面跳转的网站），如果有删除就可以了。

2、排查网站源文件的php 文件，查看是否有如下代码：@include($_SERVER['DOCUMENT_ROOT']

（排查一般用WEBshell后门扫描软件扫描核查！）

如果有就删除此段代码。并把该段代码进行解密。

举例：@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));

需要解密的代码为：2F646174612F6176617461722F30

解密后为：/data/avatar/0

代码解密地址：http://www.bejson.com/convert/ox2str/


意思就是在上述路径下存在被非法上传的文件，用于做快照劫持。

解决办法：删除上面的代码和文件即可。

挂马问题解决了后，记得更改服务器相关的各种密码，尽量设置的复杂一点。

好佳芯科技

可以协助清理木马病毒q276440802

鸿茂传媒

可以协助处理木马病毒 Q475305268

cbx

我之前也是被这个困扰几个月，后来用最土的方法，删除uc_server目录的，admin.php和index.php文件，需要用到的时候，再上传。就没有再被挂过马了。

fujie1982

好佳芯科技 发表于 2020-9-11 08:27
可以协助清理木马病毒q276440802

如果有马什么价格？

fujie1982

allthebest 发表于 2020-9-11 01:55
若存在，处理前，先卸载所有盗版插件与模版。

进discuz后台找到工具-文件校验，看下最近有哪些php文件被 ...

看了一下，整个论坛好像就你一个热心会员了。哎。我的网站最近不知道怎么回事。有时候输入别人的域名也可以访问我的网站。有时候别人的域名又打不开。我担心是不是中马了。护卫神查了一下。把疑是文件替换了。用护卫神再查还是有可疑文件。

好佳芯科技

可以加我Q276440802，给你排查一下

allthebest

fujie1982 发表于 2020-9-13 08:16
看了一下，整个论坛好像就你一个热心会员了。哎。我的网站最近不知道怎么回事。有时候输入别人的域名也可 ...

应用中心插件与模版，安装都不会加入代码到PHP文件；

有时候输入别人的域名也可以访问我的网站：做成这问题，应是别人的域名与你的站点安装有相同插件或模版。

有时候别人的域名又打不开：做成这问题，别人的域名已清理了插件或模版后门。