分享一下我网站被挂马后我是如何处理的 New

站帮网

【我不是专业人士，只是根据自己的经验做了一个简单的分享】
首先，你可以通过后台查看你网站最近修改的文件和新增的文件。确定那些是你自己修改和新增的（当然，别错把缓存目录文件当做异常文件）。把异常的文件和官方【同版本】文件做对比

其次，如果你用的宝塔，他里边有些防火墙或者某些软件，是可以扫描目录的，他扫描的结果，很多是误报，你要人工排查。比如在某个异常的时刻（近期或者某个特殊事件）新增了一个文件，这个文件代码有问题，甚至还有加密内容

我自己之前也出现过几次网站被挂马，然后百度收录了很多异常页面。已经收录的页面一般很难处理，你可以举报那个收录的页面，或者后期在问题处理之后去百度资源平台批量提交链接404

我使用阿里云，被挂马后直接发短信提示我有异常文件上传。然后我在阿里云下载了文件，然后 根据里边代码，把部分特征代码片段加入宝塔的某些软件里边，然后去扫描。注意，被挂马，不仅要扫描网站目录，还要扫描其它目录，你的服务器都被攻破了，他们会把文件复制到其它地方去

有时候你看到的异常文件是加密的，你根据加密文件的特征代码，将加密内容解密（百度一下，很多网站就可以解密）。然后你甚至能发现更多的“特征代码”，比如我就发现过他们的登录地址、密码、账号等。这些特征代码你都可以添加到宝塔的安全软件里，进行扫描和拦截。

另外，之前DZ出现了一个问题，就是有人把木马伪装成图片，上传之后运行。你可以在NGINX里边，禁止某些目录运行php

我个人现在用ESA（好像我经常推荐大家使用ESA。其他云厂商也有相关的功能），很多人攻击你，都是用扫描的方式广撒网。你去查看你的网站日志，肯定可以看到很多错误的访问链接，比如非常普遍的：/wp-content/*** 因为很多扫描来自国外，他们才不管你的网站是DZ还是WP做的，就扫描。你可以在CDN，ESA，甚至服务器防火墙软件去拦截某些路径，或者特殊的文件名后缀。设置访问限频，或者直接拦截国外IP【注意，当你设置拦截IP或者手动设置IP黑名单的时候，要注意获取真实IP】

【关于获取真实IP】Discuz! X3.5 针对常见CDN/WAF/负载均衡，如何获取真实IP？
https://www.dismall.com/thread-15034-1-1.html

知行社区

上传图片木马问题，可以把图片和附件放在云端非本地，要使这段恶意代码发挥作用，需要一个“解释器”来执行它。对象存储的主要功能是存储文件，它并不会去解析和执行图片中隐藏的PHP、ASP等脚本代码。因此，木马在COS上是“沉睡”的。如果设置存储桶私有读写，即便有图片木马也难以执行
最优解用平安oss插件，图片自动重绘，能彻底解决这个问题
被广义恶意扫描每天都在经历，我都已经彻底封禁国外了，然后好多了但也没完全杜绝，我每次都是根据扫描特征加入nginx防火墙库进行拦截

ysx24

我的图片就是放在服务器上的，我嫌麻烦，没用OSS。因为需要使用加速，所以就用DCDN或者ESA，顺便还可以拦截攻击。网站数据流量小，用NGINX防火墙可以，流量大了不行，除非你的服务器配置本来就很好