【已解答】请教下，某站出行挂马，应该怎么处理

今天在度娘搜索相应关键词后，出来的自己网站然后点击却到了一个叫澳门威尼斯人的一个注册页面。然后马上将网站打包放本地解压用D盾扫。结果如下

应该如何清理这后门呢？新人表示不会啊

嘻嘻哈_69d0 · 发表于 2023-8-31 11:02:59

用宝塔里的微步木马检测出提示：为绕过防火墙或完成其他恶意行为，攻击者会在Webshell中使用PHP函数回调技术。检测到PHP回调型webshell程序，检测到该文件说明主机可能已经受到攻击

谢花郎 · 发表于 2023-8-31 11:59:21

1.如果有条件可做个代码审计，确认扫描的文件是否就是木马文件
2.扫描软件都是根据关键函数进行扫描匹配的

宝塔用户_qrmzvo · 发表于 2023-9-1 10:56:54

检查下 php.ini 是否被黑篡改？
我服务器站点但凡是php页面和在移动端访问就会加载黄站内容
排查半天发现服务器所有版本的 php.ini 都被追加了一段恶意代码。

嘻嘻哈_69d0 · 发表于 2023-9-1 14:35:54

宝塔用户_qrmzvo 发表于 2023-9-1 10:56
检查下 php.ini 是否被黑篡改？
我服务器站点但凡是php页面和在移动端访问就会加载黄站内容
排查半天发现 ...

兄弟，这个文件是在宝塔的那个位置了

宝塔用户_qrmzvo · 发表于 2023-9-1 16:11:43

嘻嘻哈_69d0 发表于 2023-9-1 14:35
兄弟，这个文件是在宝塔的那个位置了

宝塔后台就能找到。【软件商店->已安装->PHP 设置（配置文件）】

嘻嘻哈_69d0 · 发表于 2023-9-22 04:27:16

宝塔用户_qrmzvo 发表于 2023-9-1 10:56
检查下 php.ini 是否被黑篡改？
我服务器站点但凡是php页面和在移动端访问就会加载黄站内容
排查半天发现 ...

仁兄是用啥软件排查的

宝塔用户_cqwwhz · 发表于 3 天前

需要有一定经验判断文件是否破坏还是木马。专业处理网站挂马、劫持、快照跳转等问题，请联系宝塔专属小肥的微信：