公司网站是PHP开发的，之前因为工作重点原因没注意，最近因域名备案变更问题重新关注了一下，发现竟然被注入木马，会跳转到赌博之类的违法站点，作为技术人员当然不能放过。

因为网站还可以访问，虽然每天来访IP不超过三位数，但也不能随便关闭，SSH登录后台打包下载

cd /sites
tar -cvzf www20200904.tar.gz www

下载完成后本地使用腾讯管家和360扫描了一下，果然发现木马，被感染的是图片和php文件，直接删除，然后从之前备份的未被感染的文件复制一份过去。

然后把压缩包上传到百度开放监测网站进行监测

结果如下：

发现了隐藏文件，以" ._ "开头，打开都是加密后的十六进制

本地发现木马生成的以" ._ "开头的文件太多，每个目录都有，手动删除太费时费力，直接在Linux下删除。

#把网站文件复制到当前目录下 root目录
cp -r  /sites/www .  （cp -r 源目录/* 指定目录）# 查找符合条件的所有文件，然后执行删除操作
find ./www -name "._*" -exec rm "{}" \;#使用这条命令会出现下面错误提示！！！  find ./ -name "._*" -exec rm -rf "{}"#错误：find: missing argument to `-exec'

然后删除替换其他还有恶意代码的文件，比如首页

然后本地测试处理后的网站能否正常运行，没问题直接删除原来服务器上的程序后上传本地文件。

服务器和数据库暂时未发现木马，等待后续检查监测。

依次处理其他感染木马的项目。