如何查杀网站(服务器)空间木马
为了确保网站的安全性和完整性,按照您提供的步骤进行操作是非常必要的。以下是详细的步骤说明,请务必按照顺序逐步操作,并确保每一步都正确无误。
1. 备份网站数据库与源码文件
在进行任何操作前,请先备份网站的数据库和源码文件。这一步非常重要,以防万一出现问题时可以恢复数据。
2. 下载对应版本的官方核心包
-
确定网站版本号: 打开版本号文件
/data/conf/version.txt
,查看网站版本号。例如,对于 v1.5.6 版本,下载对应的官方核心包
EyouCMS-V1.5.6-UTF8-Core.zip
。
3. 在线扫描网站源码
-
登录后台: 登录网站后台。
-
安装易优系统助手: 在插件应用中安装“易优系统助手”。
-
进行病毒扫描: 使用“易优系统助手”进行病毒扫描和木马图片扫描。
- 病毒扫描:扫描整个网站源码。
- 木马图片扫描:扫描上传的图片文件。
-
处理扫描结果: 根据扫描结果处理可疑文件。
- 卸载易优系统助手:建议处理完后卸载插件,下次需要时再重新安装。
4. 复制重要文件
- 复制重要文件: 将以下重要文件夹和文件复制到新源码中:
/public/upload
(早期上传目录,如果没有可以忽略)/template
(前台模板目录)/uploads
(上传目录)/weapp
(插件目录)/extend/function.php
(用户自定义函数文件)/core/library/think/paginator/driver/Eyou.php
(PC端列表分页 HTML 代码文件)/core/library/think/paginator/driver/Mobile.php
(手机端列表分页 HTML 代码文件)
5. 查杀木马
-
查找并删除可疑 PHP 文件: 通过 Windows 查找文件的方式,搜索以下目录是否存在 PHP 文件,并删除:
/public/upload
/template
/uploads
-
使用 D 盾工具查杀: 使用 D 盾工具(下载地址:点击下载)查杀以下目录和文件:
/public/upload
/template
/uploads
/weapp
(如果插件扫描有可疑文件,建议联系开发者确认是否木马文件)/extend/function.php
/core/library/think/paginator/driver/Eyou.php
/core/library/think/paginator/driver/Mobile.php
-
处理可疑文件:
- 如发现是图片木马,右键选择删除。
- 如发现是模板文件,请用除记事本之外的编辑器查看并手工处理可疑代码片段。
-
人工检查模板文件: 检查
/template
模板文件代码,是否存在可疑代码片段或新增模板文件,并删除。 -
检查网站根目录: 检查网站根目录下是否存在可疑文件,包括
404.html
文件是否被注入木马。
6. 更新数据库配置
-
打开数据库配置文件: 在中毒网站的目录内,打开
application/database.php
数据库配置文件。 -
复制数据库配置信息: 将对应的信息复制到新源码包的
application/database.php
文件中。
7. 重置空间
-
一键清空当前站点所在的空间目录:
- 宝塔环境:根目录里的
.user.ini
不要删除。 - 虚拟空间:直接从最外一级目录删除清空,因为
.svn
目录可能有些木马会注入其中。
- 宝塔环境:根目录里的
-
重启空间或服务器: 重启空间或服务器(避免存在内存木马)。
-
修改密码: 修改空间或者服务器、宝塔面板、网站 FTP、网站后台等与网站相关的一切登录密码。
-
开启安全防护功能: 适当开启一些安全防护功能,比如防火墙、防篡改(可能会导致下次升级网站部分文件覆盖失败)。
8. 上传新源码
-
打包新源码: 将新源码压缩成一个文件。
-
上传并解压: 将压缩包上传到空间/服务器进行解压。
通过上述步骤,您可以确保网站的安全性和完整性,同时解决了因木马和病毒导致的问题。请务必按照步骤逐一操作,并确保每一步都正确无误。