如何查杀网站（服务器）空间木马

为了确保网站的安全性和完整性，按照您提供的步骤进行操作是非常必要的。以下是详细的步骤说明，请务必按照顺序逐步操作，并确保每一步都正确无误。

1. 备份网站数据库与源码文件

在进行任何操作前，请先备份网站的数据库和源码文件。这一步非常重要，以防万一出现问题时可以恢复数据。

2. 下载对应版本的官方核心包

1. 确定网站版本号： 打开版本号文件 /data/conf/version.txt，查看网站版本号。

   例如，对于 v1.5.6 版本，下载对应的官方核心包 EyouCMS-V1.5.6-UTF8-Core.zip。

3. 在线扫描网站源码

1. 登录后台： 登录网站后台。

2. 安装易优系统助手： 在插件应用中安装“易优系统助手”。

3. 进行病毒扫描： 使用“易优系统助手”进行病毒扫描和木马图片扫描。

   • 病毒扫描：扫描整个网站源码。
   • 木马图片扫描：扫描上传的图片文件。

4. 处理扫描结果： 根据扫描结果处理可疑文件。

   • 卸载易优系统助手：建议处理完后卸载插件，下次需要时再重新安装。

4. 复制重要文件

1. 复制重要文件： 将以下重要文件夹和文件复制到新源码中：
   • /public/upload （早期上传目录，如果没有可以忽略）
   • /template （前台模板目录）
   • /uploads （上传目录）
   • /weapp （插件目录）
   • /extend/function.php （用户自定义函数文件）
   • /core/library/think/paginator/driver/Eyou.php （PC端列表分页 HTML 代码文件）
   • /core/library/think/paginator/driver/Mobile.php （手机端列表分页 HTML 代码文件）

5. 查杀木马

1. 查找并删除可疑 PHP 文件： 通过 Windows 查找文件的方式，搜索以下目录是否存在 PHP 文件，并删除：

   • /public/upload
   • /template
   • /uploads

2. 使用 D 盾工具查杀： 使用 D 盾工具（下载地址：点击下载）查杀以下目录和文件：

   • /public/upload
   • /template
   • /uploads
   • /weapp （如果插件扫描有可疑文件，建议联系开发者确认是否木马文件）
   • /extend/function.php
   • /core/library/think/paginator/driver/Eyou.php
   • /core/library/think/paginator/driver/Mobile.php

3. 处理可疑文件：

   • 如发现是图片木马，右键选择删除。
   • 如发现是模板文件，请用除记事本之外的编辑器查看并手工处理可疑代码片段。

4. 人工检查模板文件： 检查 /template 模板文件代码，是否存在可疑代码片段或新增模板文件，并删除。

5. 检查网站根目录： 检查网站根目录下是否存在可疑文件，包括 404.html 文件是否被注入木马。

6. 更新数据库配置

1. 打开数据库配置文件： 在中毒网站的目录内，打开 application/database.php 数据库配置文件。

2. 复制数据库配置信息： 将对应的信息复制到新源码包的 application/database.php 文件中。

7. 重置空间

1. 一键清空当前站点所在的空间目录：

   • 宝塔环境：根目录里的 .user.ini 不要删除。
   • 虚拟空间：直接从最外一级目录删除清空，因为 .svn 目录可能有些木马会注入其中。

2. 重启空间或服务器： 重启空间或服务器（避免存在内存木马）。

3. 修改密码： 修改空间或者服务器、宝塔面板、网站 FTP、网站后台等与网站相关的一切登录密码。

4. 开启安全防护功能： 适当开启一些安全防护功能，比如防火墙、防篡改（可能会导致下次升级网站部分文件覆盖失败）。

8. 上传新源码

1. 打包新源码： 将新源码压缩成一个文件。

2. 上传并解压： 将压缩包上传到空间/服务器进行解压。

通过上述步骤，您可以确保网站的安全性和完整性，同时解决了因木马和病毒导致的问题。请务必按照步骤逐一操作，并确保每一步都正确无误。