安全类问题>（云服务器）虚拟主机可以直接参考第三种操作

网站被黑后如何快速找到木马

（本文适用于云服务器，虚拟主机可直接参考第三项操作）

一、守护神快速找到挂马文件（云服务器）

在云服务器上访问：，点击下载软件，下载地址：，下载并解压操作界面如下图：

选择“自定义扫描”后，会出现如下界面：

选择站点所在路径，如下图：D:\\\，点击“开始扫描”

如果存在异常木马文件，下面的列表中会显示具体的文件名、木马类型等信息。 双击该条目即可查看具体木马内容：

另外，右键单击相关条目，参考下图“打开文件路径”和“打开日志”，可以以日志文件的形式查看操作记录。 确认是异常文件后，可以直接删除异常文件。

至此，通过守护神云杀手工具扫描清理异常文件的过程已经结束，但守护神无法找到木马的所有文件和内容。 这并不意味着所有木马内容都已被清除。

清理恶意文件或内容并不意味着网站完全安全。您需要联系程序开发商检查程序漏洞进行修复，或者下载最新版本的程序升级以提高程序安全性。

如果没有技术人员处理程序问题，无法下载最新版本的程序，可以使用360卫士监控文件修改操作

2、360文档卫士监控文件修改，防止重挂

360文档卫士下载地址： ，下载安装后程序运行界面如下图：

上一篇文章卫士云扫描工具扫描出了php后缀的马文件，打开360文档卫士，点击设置360文档卫士，在下方界面的自定义规则中添加*.php后缀格式，点击保存

如下图所示，守护神扫描出站点中是否存在.php挂马文件，并将其删除。 手术时间为5月14日凌晨0时41分。

安装360文档卫士后，如下图所示，5月14日下午13点50分监测到再次生成.php文件。 准确定位文件路径、文件名、创建时间。 异常文件可以直接删除。 这样就可以将站点恢复到之前的状态了； 您还可以通过生成时间来验证站点日志，并查看相关时间段内访问的PHP文件，以帮助查找后门文件。

3、守护神远程检查木马文件（主要针对虚拟主机）

守护神除了在服务器上使用外，还可以填写如下所示的ftp连接信息来扫描虚拟主机。

选择远程查杀，点击“选择ftp”添加ftp链接信息：

如果扫描出异常文件，处理方法与前面的“自定义查杀”相同。