关于被挂马后如何清理的问题

thinkphp官网出现漏洞 导致至少全国4-5万家企业被黑客入侵,  被入侵后首先做三件事
第一件事,备份网站和数据库到本地,备份mysql数据库一定要用导出sql脚本形式,
第二件事 一定要开启阿里云每天自动备份策略,参考地址 http://bbs.tp-shop.cn/read.php?tid=2889&fid=2 这件事一开始买服务器时就应该做,没做赶紧补上
第三件事 清理被上传修改的木马文件


以下是清理木马文件的方法步奏
第一步 先删除根目录下的 runtime临时缓存文件夹下的所有文件,不删除会查询出上千个文件,没法找
第二步 由于上传木马有文件最新创建时间和修改时间, 比如 今天20号 昨天上传的木马, 那么指定日期查询 2天内创建或者修改过的文件列出来, 一个个看代码是木马文件就删除, 如果是项目文件觉得可疑, 拿出来跟之前本地的原始文件代码进行比较
进入网站根目录查询方法
windows下查询参考如下

图片：7.png

linux中用 命令参考 如 3天内被上传的木马或者被修改的木马文件  
find ./ -mtime -3 -type f


再次强调, 一定要做好阿里云每天自动备份策略参考 http://bbs.tp-shop.cn/read.php?tid=2889&fid=2
否则黑客删除你数据后, 你所有数据都没了