网站挂马第一天删除木马文件第二天出现怎么办

1、网站挂马后，首先看网站日志，可以拿挂马前一周或者一个月甚至两个月前的日志来进行分析。我们打开网站日志，找到可疑的请求与多出来的文件。

2、打开网站根目录，我们会看到命名为lion.php的文件，打开这个PHP文件，我们会看到黑客留下的前端代码。既然是黑客留下的，删除了吧

3、继续顺藤摸瓜，一点点往下走。在include/inc/目录下我们会看到fun.php这个文件。

4、打开fun.php这个文件，我们会发现里面包含logo.txt文档。

5、打开这个文件，我们会发现黑客留下的加密的代码。

6、看到这段加密的代码，我们就需要解密了，打开Thinkng.com网址，把logo.txt的后缀名改成.php，上传需要解密的PHP文件。

7、解密后，我们会发现这是黑客用的工具。在阿帕奇环境下，运行上述代码，我们可以看到这个工具的真面目。既然是黑客用的工具，我们删除吧。

8、继续顺藤摸瓜，一步一步走下去，也许会有意想不到的收获。打开FTP，查看时间异常的PHP文件，我们会在可疑的文件夹下面发现几个可疑的文件，因为时间不一样。

9、闲言少叙，太多了大家都不爱看。在那些可疑的文件中，我发现一张图片很可疑，图片的名字叫LOGO1.png。

10、用记事本打开这个图片，我们也会发现黑客留下的加密的代码。

11、用第六步的方法解密这个文件，发现了一句SQL语句，把语句插入到了dede_mytag数据表中。我好奇地打开了数据表，吓了一跳，原来广告位挂马。

12、下面是dede_mytag数据表中的详细的挂马代码，虽然我也不懂其中的原理。但是让看到这篇经验的同仁少走弯路，我有义务把它贴出来。