使用安全工具快速查找挂马，和监控防止再次挂马

学习NO.1

（此文适用云服务器，虚拟主机可直接参考第三点操作）

一、护卫神快速查找挂马文件（云服务器）

       在云服务器访问：https://www.hws.com/soft/kill/ ,点击下载软件,下载地址：https://d.hws.com/free/HwsKill.zip , 下载解压运行界面如下图所示

选择“自定义查杀”  后出现如下界面：

选择站点所在路径 ，如下图 D:\wwwroot\testweb\wwwroot  ，点击 “开始扫描”

若存在异常挂马文件 ，则在下图列表会显示具体的文件名和挂马类型等信息，双击条目可查看具体挂马内容：

另外，在相关条目鼠标右键 ，参考下图可 “打开文件路径” ，  “打开日志”以log格式文件查看操作记录  ，在确认为异常文件后可直接删除异常文件。

到此，通过护卫神 - 云查杀工具扫描并清理异常文件流程结束，但护卫神并不能百分之百查到所有的挂马文件和内容，并不代表所有的挂马内容已清理。

      清理挂马文件或内容，也并不表示网站就彻底安全了，需联系程序开发人员核查程序漏洞进行修复，或下载最新版程序升级以提高程序安全。

     若无技术人员处理程序问题，且程序无最新版可下载该怎么办，下面可使用360文档卫士监控文件修改操作。

二、360文档卫士监控文件修改，防止再次挂马

      360文档卫士下载地址：http://weishi.360.cn/wendangweishi.html   ，下载安装后程序运行界面如下图：

文中，通过护卫神云查杀工具扫描出来php后缀的挂马文件 ，打开360文档卫士，点击设置 ，在下图界面 自定义规则中 添加 *.php 后缀格式 ，点击保存 。

如下图 ，之前通过护卫神扫描出站点中存在Trojan.php 挂马文件，且进行删了操作 ，操作时间在5月14日的凌晨0：41，

在安装360文档卫士之后 ，见下图 ，监控到在 5月14日下午13：50 再次生成了一个Trojan.php文件 ，准确定位到了文件路劲及文件名称 ，以及创建时间 ，可直接删除掉异常文件即可 ，以使站点恢复到之前的状态；也可通过生成时间，对站点日志进行核实，看相关时间段访问的php文件，以协助找到后门文件 。

三、护卫神远程查木马文件（主要针对虚拟主机）

护卫神除了满足服务器上使用外，还可如下图填写ftp连接信息对虚拟主机进行扫描

若扫描出异常文件，处理方式和前文“自定义查杀” 一致。

道勤主机提供365天*24小时全年全天无休、实时在线、零等待的售后技术支持。竭力为您免费处理您在使用道勤主机过程中所遇到的一切问题! 如果您是道勤主机用户，那么您可以通过QQ【792472177】、售后QQ【59133755】、旺旺【诠释意念】、微信：q792472177免费电话、后台提交工单这些方式联系道勤主机客服！ 如果您不是我们的客户也没问题，点击页面最右边的企业QQ在线咨询图标联系我们并购买后，我们为您免费进行无缝搬家服务，让您享受网站零访问延迟的迁移到道勤主机的服务！