使用安全工具快速查找掛馬，和監(jiān)控防止再次掛馬

（此文適用云服務(wù)器，虛擬主機(jī)可直接參考第三點(diǎn)操作)

一、護(hù)衛(wèi)神快速查找掛馬文件（云服務(wù)器）

       在云服務(wù)器訪問(wèn)：https://www.hws.com/soft/kill/ ,點(diǎn)擊下載軟件,下載地址：https://d.hws.com/free/HwsKill.zip , 下載解壓運(yùn)行界面如下圖所示：

選擇“自定義查殺”  后出現(xiàn)如下界面：

選擇站點(diǎn)所在路徑 ，如下圖 D:\wwwroot\testweb\wwwroot  ，點(diǎn)擊 “開始掃描”

若存在異常掛馬文件 ，則在下圖列表會(huì)顯示具體的文件名和掛馬類型等信息，雙擊條目可查看具體掛馬內(nèi)容：

另外，在相關(guān)條目鼠標(biāo)右鍵 ，參考下圖可 “打開文件路徑” ，  “打開日志”以log格式文件查看操作記錄  ，在確認(rèn)為異常文件后可直接刪除異常文件。

      到此，通過(guò)護(hù)衛(wèi)神 - 云查殺工具掃描并清理異常文件流程結(jié)束，但護(hù)衛(wèi)神并不能百分之百查到所有的掛馬文件和內(nèi)容，并不代表所有的掛馬內(nèi)容已清理。

      清理掛馬文件或內(nèi)容，也并不表示網(wǎng)站就徹底安全了，需聯(lián)系程序開發(fā)人員核查程序漏洞進(jìn)行修復(fù)，或下載最新版程序升級(jí)以提高程序安全。

     若無(wú)技術(shù)人員處理程序問(wèn)題，且程序無(wú)最新版可下載該怎么辦，下面可使用360文檔衛(wèi)士監(jiān)控文件修改操作。

二、360文檔衛(wèi)士監(jiān)控文件修改，防止再次掛馬

      360文檔衛(wèi)士下載地址：http://weishi.360.cn/wendangweishi.html   ，下載安裝后程序運(yùn)行界面如下圖：

前文中，通過(guò)護(hù)衛(wèi)神云查殺工具掃描出來(lái)php后綴的掛馬文件 ，打開360文檔衛(wèi)士，點(diǎn)擊設(shè)置 ，在下圖界面 自定義規(guī)則中 添加 *.php 后綴格式 ，點(diǎn)擊保存 。

如下圖 ，之前通過(guò)護(hù)衛(wèi)神掃描出站點(diǎn)中存在Trojan.php 掛馬文件，且進(jìn)行刪了操作 ，操作時(shí)間在5月14日的凌晨0：41，

在安裝360文檔衛(wèi)士之后 ，見下圖 ，監(jiān)控到在 5月14日下午13：50 再次生成了一個(gè)Trojan.php文件 ，準(zhǔn)確定位到了文件路勁及文件名稱 ，以及創(chuàng)建時(shí)間 ，可直接刪除掉異常文件即可 ，以使站點(diǎn)恢復(fù)到之前的狀態(tài)；也可通過(guò)生成時(shí)間，對(duì)站點(diǎn)日志進(jìn)行核實(shí)，看相關(guān)時(shí)間段訪問(wèn)的php文件，以協(xié)助找到后門文件 。

三、護(hù)衛(wèi)神遠(yuǎn)程查木馬文件（主要針對(duì)虛擬主機(jī)）

護(hù)衛(wèi)神除了滿足服務(wù)器上使用外，還可如下圖填寫ftp連接信息對(duì)虛擬主機(jī)進(jìn)行掃描。

選擇遠(yuǎn)程查殺 ，點(diǎn)擊 “選擇ftp” 添加ftp鏈接信息:

若掃描出異常文件，處理方式和前文“自定義查殺” 一致。