请教网站被挂马快照劫持该如何解决

大家好，我想请教一个服务器安全的问题，希望大神们帮助


我们的服务器是windows2003的系统，我们的网站被人挂马进行快照劫持了，搜索引擎蜘蛛访问全是出现些时时彩的内容，
而劫持所采用的方式是修改我们网站程序代码class_core.php的方式，在该文件中加入了劫持代码。
但现在主要问题是我把该文件修复好了以后第二天不知道什么时候又给我篡改了。
我查过服务器用户登录记录，没有除了我之外的管理员登录记录。我想知道那是怎么个情况，该怎么解决呢？请大神们帮忙，先行感谢！！

另外，我的服务器我都是通过远程桌面操作，FTP目录跟网站目录不在一个目录的

哦，对了，还有就是文件被人篡改后文件属性显示的最后修改时间竟然不变，还是我最后修复的时间。

我怀疑的有两个方式：一个是有人登陆我的服务器远程桌面给我修改了文件，第二个是有人在我网站程序的其他文件中有恶意代码，靠代码修改我的文件。可是我又不知道是哪个文件执行的。

请大神们教教我要怎么样排查和清除

恢复官方默认 文件 清理木马 干净重装哦

crx349 发表于 2014-9-14 00:59
恢复官方默认 文件 清理木马 干净重装哦

您好，请问要怎么样不需要恢复官方文件来找出恶意代码呢？因为我的网站做了很多的修改，不能恢复官方文件啊

hatser 发表于 2014-9-14 01:04
您好，请问要怎么样不需要恢复官方文件来找出恶意代码呢？因为我的网站做了很多的修改，不能恢复官方文件 ...

若你知开始出问题时间

可恢复出问题前一天至当前日期文件

补回出问题前一天至当前日期丟失文件

测除出问题前一天至当前日期未知文件

修复好后第二天又变样，说明根本没修复好
木马代码很可能藏得很深，自动运行，自动修改模板。你光覆盖模板文件没用的
如果没能力把木马找出来，就彻底重装系统－－这才叫修复好！

感谢大家的帮助解答，@格东站长网 ， @allthebest ， @crx349 ，现在问题可能已经好了，我在服务器上安装了一个网站安全狗，进行了一下木马查杀，竟然查出来好多个木马文件，而且还是很久很久以前就存在了，难怪我网站更新那么勤快SEO数据却差的要死，全被劫持了。目前我已将他们清除，不知道查杀的彻底不彻底，先等待两天看看会不会再被劫持。平常的时候总感觉不信那些个软件，也觉得自己的小站不会有人弄，所以向来裸奔，现在才发现，出了问题尝试一下那些安全工具还是有一定作用的。不过遗憾的是虽然清除了，但依然不明白为什么会被挂马，有什么漏洞，该怎么样完善修复。。。任重而道远啊。。。

格东站长网 发表于 2014-9-14 04:38
修复好后第二天又变样，说明根本没修复好
木马代码很可能藏得很深，自动运行，自动修改模板。你光覆盖模板 ...

目前还不确定服务器系统有木马，前段时间刚换了主机，新换的主机就这样。如果是网站程序被挂马跟系统没关系的，所以现在是用的安全狗查询木马

allthebest 发表于 2014-9-14 01:53
若你知开始出问题时间

可恢复出问题前一天至当前日期文件

那个还真不知道，也很难知道的吧，现在发现很久很久以前就存在木马了,我竟然带着木马帮了几次家了……

hatser 发表于 2014-9-14 05:59
目前还不确定服务器系统有木马，前段时间刚换了主机，新换的主机就这样。如果是网站程序被挂马跟系统没关 ...

木马就跟系统直接有关啊，都藏在系统文件里
不然你以为木马是赤祼祼的晒鱼给你看啊？跟系统没关系的木马还能叫木马？