网站发现被挂马后，最推荐的处理方向是先切断外部访问进行隔离，然后基于已知干净的备份进行还原，同时保留现场日志用于分析入侵入口，切勿直接在生产环境在线删除可疑代码。

命令速用版

以下命令需在服务器命令行执行，建议先切换到网站根目录。注意：操作前务必对当前状态做完整快照或备份，以免误删正常文件。

# 查找最近 2 天内被修改过的文件
find . -type f -mtime -2 -ls

# 搜索常见的恶意代码特征（如 eval 函数）
grep -r "eval\|base64_decode\|gzinflate" . `--include`="*.php"

# 查看 Web 访问日志中最近的可疑请求（不过滤 200 状态码）
tail -n 500 /var/log/nginx/access.log | grep -E "POST|eval|base64|\.php\.|wget|curl"

# 修复文件权限（文件 644，目录 755）
find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;

为什么会这样

网站被挂马通常不是因为黑客专门盯着你的站点，而是自动化脚本在全网扫描已知漏洞。常见原因包括 CMS 或插件版本过低存在公开漏洞、服务器弱口令、以及文件权限配置过于宽松。攻击者一旦通过漏洞上传 Webshell，就能长期控制网站，甚至篡改页面内容植入博彩或色情链接。如果不找到并修复最初的入侵入口，即使清理了代码，脚本也会再次写入恶意文件。

分步处理

1. 保留现场与隔离
不要急着删除文件。先对当前网站目录和数据库做完整备份，这份备份用于后续分析入侵痕迹，而不是用于恢复。随后将网站切换到维护模式，或在防火墙层面限制仅允许管理 IP 访问，阻断攻击者继续操作。

2. 清理与还原
最安全的方式不是删除恶意代码，而是用干净版本覆盖。如果是 WordPress 等常见系统，重新下载官方核心文件覆盖除上传目录外的所有文件。注意：覆盖前务必备份配置文件（如 wp-config.php、.env、config.php 等），覆盖后立即还原配置，否则会导致数据库连接失败。

对于自定义代码，需对比备份或通过代码审计确认无误。数据库方面，检查是否有异常管理员账号或包含恶意脚本的文章内容。

3. 修复入口与加固
根据日志分析找出被利用的漏洞，更新所有 CMS、插件和主题到最新版本。修改所有相关密码，包括 FTP、数据库、后台管理员及服务器 root 密码。检查文件权限，确保上传目录不可执行 PHP 脚本。

数据库安全排查实操

仅清理文件不够，攻击者常在数据库留存后门。登录数据库执行以下检查（以 MySQL 为例）：

# 检查是否存在异常管理员账号（以 WordPress 为例）
SELECT ID, user_login, user_email FROM wp_users WHERE user_login = 'admin';

# 检查是否有可疑的选项值存储了恶意代码
SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%eval%';

# 检查最近是否有异常的文章内容
SELECT ID, post_title, post_content FROM wp_posts WHERE post_content LIKE '%script%' ORDER BY post_date DESC LIMIT 10;

怎么验证是否生效

清理完成后，不要立即开放公网访问。先在本地 hosts 绑定服务器 IP 进行访问测试，确认页面正常且无跳转。使用在线安全扫描工具检测网站是否仍有恶意特征。恢复公网访问后，持续观察 Web 日志至少 24 小时，确认没有异常的高频请求或熟悉的恶意特征重现。

常见坑

1. 用被感染的备份还原：有些备份本身已经包含后门，还原后等于白忙。务必确认备份时间点早于入侵时间。
2. 忽略数据库后门：只清理了文件，没检查数据库中的恶意账号或存储过程，攻击者仍能通过数据库写入文件。
3. 配置文件被覆盖：直接覆盖核心文件时未排除配置文件，导致网站无法连接数据库。操作前请先备份配置文件。
4. 权限配置错误：为了图方便将网站目录权限设为 777，这会让恶意脚本轻易写入新文件。建议文件设为 644，目录设为 755。

参考来源

OWASP Top 10 漏洞分类与防御建议：OWASP Foundation, OWASP Top Ten