V系列如果你發現在搜尋引擎收錄是其他資訊了 可以判斷為被黑了。排查方法如下：

/hack/cnzz/template/在這裡增加了一個index.php 可以直接把cnzz目錄刪除 這個外掛已經失去作用。

/inc/job/ 這個目錄有時候是增加一個檔案 有時候是增加2個檔案 一個檔案是 job.php 一個檔案是 ucserver.php 有時候還會多一個 cache 檔案 都刪除即可。

inc 目錄 有時候會有一個cache 檔案和cache.php 刪除即可 開啟 class.user.php 把最下面一行刪除@include 'job/job.php'; 或者是@include 'cache.php';

data/style/目錄下有時候會多一個 configs.php 刪除 不然後臺操作是空白

data/group/目錄下有時候會多一個l.php 直接刪除

/images/default/yz/ 下面有時候會增加1.js 2.js 直接刪除 如果沒有你可以把 images下的檔案都下載了 批量搜尋下 hm.baidu.com 和baidu|haosou|so|sogou|soso|google|sm|yahoo|bing|360 把檢索到的js刪除

images/目錄下面有時候會給增加一個 ckplayer 目錄 目錄位置不確定 ckplayer/share/ ckplayer/assets/ 這倆目錄下 有時候會有 一個cer 檔案和php檔案 刪除即可

如果你是linux伺服器 可以 CD到網站目錄進行批量檢索 特徵碼如下：

一行執行一次 基本可以清除完畢

grep -rn --include='*.php' "new Test()"
grep -rn --include='*.php' "rro5cve5"
grep -rn --include='*.php' "set_exception_handler('globalExceptionHandler');"
grep -rn --include='*.php' "logs.class.php"
grep -rn --include='*.php' "ipservice.163.com"
grep -rn --include='*.php' "new Main()"
grep -rn --include='*.php' "abvgpahs"
grep -rn --include='*.php' "Tp1View()"
grep -rn --include='*.php' "job/job.php"
grep -rn --include='*.php' "'cache.php"
grep -rn --include='*.php' "define('Viv, bebegim.','Denzel-你的英雄')"
grep -rn --include='*.php' "你的英雄"
grep -rn --include='*.js' "baidu|haosou|so|sogou|soso|google|sm|yahoo|bing|360"
grep -rn --include='*.js' "hm.baidu.com"

修正辦法：

inc目錄開啟 function.inc.php 搜尋：

$secret_string = $webdb[mymd5].$rand.'5*j,.^&;?.%#@!';
改為：

$secret_string = md5($webdb[webname].$webdb[www_url]).md5(ROOT_PATH).$webdb[mymd5].$rand.'Yr#s$fGJ*bovuq4y*oWG'; //絕密字串,可以任意設定
也可以是

$secret_string = md5(ROOT_PATH).md5_file(ROOT_PATH.'data/mysql_config.php').$webdb[mymd5].$rand.'Yr#s$fGJ*bovuq4y*oWG'; //絕密字串,可以任意設定
哪個都可以 區別就是第一個你只要改了網站名字和域名 就需要重新登入 第二個只有改了資料庫配置才重新登入

最後的 Yr#s$fGJbovuq4yoWG 可以自己隨便輸入字母數字加符號的組合 別照搬就好
————————————————
版權宣告：本文為CSDN博主「冰藍小子」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處連結及本宣告。
原文連結：https://blog.csdn.net/u012240615/article/details/121411379