网站被入侵挂马了怎么办？

立即隔离站点

• 把整站目录权限改成 555（只读），防止继续写入：

• chmod -R 555 /www/wwwroot/zmzqw.com/

  全局查杀 Webshell

  • 用 find 命令快速定位近 30 天被修改的 php 文件：

  • find /www/wwwroot/zmzqw.com -type f -name '*.php' -mtime -30 -ls

    用 Virustotal / 河马查杀 扫一遍整站：

  • # 河马 Linux 版示例
    wget https://dl.shellpub.com/hm-linux-amd64.tgz
    tar zxf hm-linux-amd64.tgz
    ./hm scan /www/wwwroot/zmzqw.com

    立刻把“全部”可疑文件统一搬走

    把上次 find 得到的整份清单一次性移走（不要手工一个个敲）：

  • # 1. 先重建目录
    mkdir -p /root/hack2026/all
    
    # 2. 用 find 直接批量搬（排除已搬的 5 个）
    find /www/wwwroot/zmzqw.com -type f -name '*.php' -mtime -30 \
      ! -path '*/hack2026/*' \
      -exec mv -t /root/hack2026/all {} +