此文专门针对PHPCMS而写，但不仅限于PHPCMS，大多数情况都适用于其它CMS系统。

服务器被批量挂马是站长经常遇到也是非常头疼的一件事情,谨以此文献给容易被挂马的朋友。

一、挂马前的安全措失

1、黑客的工具去检查你网站的漏洞~当然不要滥用~用些注入SQL的黑客软件检查下你网站就可以了（如啊D注入器等等，我都使用过，没有发现有漏洞有可以挂马的地方，不信你也可以去测试，当然我不知道不代表没有，但是你也应该知道，使用的朋友有多少，如果真的出现很容易被抓的漏洞，要被挂的网站数量恐怕会很恐怖）

2、后台地址建议要修改！

3、检查data目录里是否存在install.lock文件。有用户没给install目录写权限导致安装的时候没有生成lock文件。安装完成后可整个删除intstall目录。

4、后台最好加上验证码，虽然麻烦了点，但是可以避免不少的小黑客用社会工程学来破解你的网站（我就试过，很多朋友的密码常常是手机号，域名，qq等等）

5、建议有一定PHP技术的朋友去修改phpcms的程序，为达到功能不是简单的在前台增加表单后台增加发布表单然后增加数据库字段这么简单，要防止XSS攻击。

6、设置好服务器web目录权限

7、建议到

8、对于独立服务器用户，要加强 []

9、还有不少的朋友在自己的空间上为了增加功能还使用了一些小程序（那些程序我也用过忘记删除了，结果被挂码）比如：相册、报名之类的程序，这些程序的作者都是些不出名的，他们的程序基本上会有一定的风险，有的黑客就可以利用这点，上传blackeyes小马（就是木马），得到你的虚拟空间的使用权，然后就是用工具批量挂马。

10、别忽视了IDC服务器商的风险，对于黑客来说~为了挂你的站，常常不是使用对点方式的破解，而选择旁注入的方法，方法就是破解与你同一个服务器上的其他网站，别人要知道你网站的邻居有哪些轻松的很。对于一些好的服务器商对于这个限制的厉害，就不会出现这个问题。

11、开启的用户上传这一栏最好严格控制一下，这个也比较关键，如果黑客不是破解你后台的话，挂你马也就难多了，因为他们需要上传一个挂马工具上来，如果你已经被挂马了，切记要检查下你的网站是不是允许上传html.php.asp等可执行文件。

12、时刻关注官方发布的安全补丁，最近有些站长站点被挂马，一检查都是因为没有关心补丁的原因 。这里再声明一下 phpcms2007 1226为最新版，phpcms2008 0325为最新版 （截止发文之日）

13、有些朋友经常把中了马之后的文件上传到这个论坛然后希望大家一起研究，我想说“那个东西上传了也不能得到防止的方法，因为那个JS或者iframe并不是关键，你上传了大家只能去破解下加密文件的木马而已。”别人留下的东西只是目的而不是工具。

14、不可抗拒的自然因素，比如一个超级顶级黑客要挂你的网站，我怕很多没有毛病的东西都会有毛病了，相信我一句话，挂马的黑客都是一些菜鸟黑客和工具黑客，做好以上，那些黑客就不知道怎么做了。

二、挂马后的安全检查

必要时关闭网站进入一步步排查

1、进PHPCMS管理后台检查是否有新补丁或安全提醒没有及时更新。

2、检查源文件中是否有相应木马病毒代码，以确认是否为

ARP攻击表现：程序文件毫无异动，攻击是采用欺骗目标网关以达到欺骗用户端的效果，实现用户端访问网站加载木马的目的。
ARP攻击防范：对服务器加装防ARP攻击类的软件及其它应对措施，或联系您的IDC服务商。

3、检查目录权限，详见第一大点里的安全措施。

4、检查FTP里的每一个目录，查找最近被修改过的可疑文件。

4.1 用记事本等类工具打开查找，如果是真被挂马，这里分析下都能找到。
4.2 如果是整站被挂，请着重先检查下整站调用的js文件。
4.3 从文件中找出被挂的代码，复制代码的关键语句部分，打开替换类软件批量替或批量找吧。
4.4 上面一步需要有服务器控制权限，没有的话只能下载回来批了。(这是谨慎的办法，如果你有把握那可以只检查部分文件或目录)

5、上面还是解决不了，那得分析IISLOG日志，追根朔源查找入侵点。你可以下载IISlog分析类软件研究。

三、如何向官方求助或报告安全问题？

1、查看木马、可疑文件的修改时间
2、查看站点系统日志，对照第1点所获得的时间，找出挂马的方式。
3、请先认真阅读理解一二大点，确认仍无法解决的，请论坛官方留言