挂马劫持自查处理方法（360 百度 等 ）

直接上干货：
例子：
1 百度或360 等其他搜索引擎 通过关键词访问网站 跳转到菠菜等网站
2 直接访问 出现弹窗，或者访问偶尔跳转到菠菜等网站，因为加了判断，甚至加了admin组 地区识别代码 导致站长发现时 已经被降权

别相信什么杀毒工具，清了木马又能怎么样？照样还是接着挂，并且部分php一句话已经可以过杀毒。
别骗自己说，我重新做系统，重新装程序。导入数据库就能避免被2次黑，这个不科学，没从根本解决问题。

中了木马的第一件事 不是想怎么恢复，
首先（去百度 360 站长平台 进行闭站保护。避免收录过多，导致权重下降/被k）
其次 关闭网站，避免访客有进一步损失。如跳转到带有网页木马的网址，导致访客经济损失。

权限设置：
下面以win2008主机系列为例子（linux同理）

win主机，每个应用池都有一个独立的名称，一般会在建立网站的时候自动生成，而这个应用池名称 又叫虚拟账户
该用户组为最低权限可用用户组级别，能满足建站需要。这个账户 在计算机管理用户组 角色中查不到，所以叫虚拟账户。
因为本身是不存在的，是驻足在应用池中的。所以这个账户安全系数非常高。

作用 对服务器上面的每个站点进行隔离，锁定账户权限在当前目录，这样也就不存在所谓的提权了。

我们这样设置，由于没办法上传图片，所以 就接着码字吧。

首先 取消被黑网站的其他用户组全部权限，保留从服务器盘符根目录继承的 administrator 以及system 然后 在 网站根目录 添加

IIS AppPool\应用程序池名  （注意多个网站尽量把应用池分开，这样性能会好些。）这样的账户。 给予这个账户  （读取和执行）（列出文件夹内容）（读取） 3个权限。即可，把权限应用到子目录和文件。

其他目录
data 目录 给予该账户  IIS AppPool\应用程序池名   全部权限（即 写入修改 ），然后取消data目录 脚本执行功能。
source/plugin  中的插件因为部分插件需要写入到本插件目录，按需修改即可。
uc_server/data/tmp  目录给予全部权限，并去掉脚本执行功能，保证头像正常上传即可。

一般来说，目前就已经做的差不多了。

由于
IIS AppPool\应用程序池名
这个用户组权限的特殊性，目前程序已经很安全了

注入 只能在含漏洞的当前目录（本身无跨目录权限），而包含注入的可读取执行 例如  source\function 由于文件属性为读取和执行，而并非写入，这样就避免了被篡改。

上传木马文件亲测，无法跨目录，无法提权。

做好了基本的服务器权限，来恢复网站文件。

最稳妥的办法，https://discuz.dismall.com/thread-3825961-1-1.html  执行1 2 3步即可。



这样，网站目前已经安全了。

接下来 继续做安全：

修改 复杂一点的ftp账户密码， 网站后台 账户密码修改复杂些，禁止数据库远程连接。

修复系统补丁，如服务器内存充足，可按照防护软件，不然 就开启默认win防火墙。


部分云主机可以设置安全组 关闭不需要的端口，一般保留 80 20 21 3306 3389（可修改）即可。


其他：及时关注官方  https://gitee.com/ComsenzDiscuz/DiscuzX/attach_files 码云 最新程序动态。


到这里，即使dZ程序本身存在未知漏洞， 也不会造成什么不可逆的损失，不管是新手还是老手，记得定期做数据备份，这样才是万无一失的。

说的非常好，谢谢分享

谢谢码字，辛苦了