这个也是自己遇到了，网上下载了一个网站程序，安装完后发现一整个服务器上的所有网站的js和index.php都被挂马了，手机打开几秒钟后会跳转到黄色网站，所有js文件都是头部被加了代码，自己遇到了，就把代码分享出来。

这个方法我是觉得比node.js修改更简单方便的，毕竟是可视化的，不需要你去调试代码。

首先创建一个php文件，名字随便，不要和网站内文件冲突即可，放在网站根目录。

把一下内容复制到这个php文件中保存。（只支持UTF-8，GBK或者其他的自己手动改改）

# functionality: 本程序可以扫描指定目录的所有文件，进行内容替换。可用于被批量挂马的删除以及批量更新页面某些内容。
# 本程序适用于对UTF-8的页面进行修改。
set_time_limit(3600); //脚本运行时间
?>
if($_POST[‘Submit’]==’开始执行操作’){
$dir = $_POST[‘searchpath’];
$shortname = $_POST[‘shortname’];
$isall = $_POST[‘isall’];
$isreg = $_POST[‘isreg’];
if (!get_magic_quotes_gpc()) {
$sstr = $_POST[‘sstr’];
$rpstr = $_POST[‘rpstr’];
} else {
$sstr = stripslashes($_POST[‘sstr’]);
$rpstr = stripslashes($_POST[‘rpstr’]);
}
//分析shortname
$arrext = explode (“|”,$shortname);
if (!is_dir($dir)) return;
if ($sstr == ”) return;
//把末尾的/去掉
if(substr($dir,-1)==’/’) $dir = substr($dir,0,strrpos($dir,”/”));
//罗列所有目录
if ($isall == 1){
hx_dirtree($dir);
}else{
hx_dealdir($dir);
}
exit();
}
function hx_dirtree($path=”.”){
global $sstr,$rpstr,$isreg,$arrext;
$d = dir($path);
while(false !== ($v = $d->read())) {
if($v == “.” || $v == “..”) continue;
$file = $d->path.”/”.$v;
if(is_dir($file)) {
echo “

$v

”; hx_dirtree($file);
}else{
$ext=substr(strrchr($v,”.”), 1);
if( in_array($ext , $arrext) ){
echo “

$file “;
$body = file_get_contents($file);
if($isreg == 1){
$body2 = preg_replace($sstr, $rpstr, $body);
}else{
$body2 = str_replace($sstr, $rpstr, $body);
}
if($body != $body2 && $body2 != ”){
tofile($file,$body2);
echo ‘ OK’;
}else{
echo ‘ NO’;
}
echo ‘

’;
}
}
}
$d->close();
}
function hx_dealdir($dir){
global $sstr,$rpstr,$isreg,$arrext;
if ($dh = opendir($dir)) {
while (false !== ($file = readdir($dh))) {
if(filetype($dir.’/’.$file)==’file’){
$ext=substr(strrchr($file,”.”), 1);
if( in_array($ext , $arrext) ){
echo “

$file “;
$body = file_get_contents($dir.’/’.$file);
if($isreg == 1){
$body2 = preg_replace($sstr, $rpstr, $body);
}else{
$body2 = str_replace($sstr, $rpstr, $body);
}
if($body != $body2 && $body2 != ”){
tofile($dir.’/’.$file,$body2);
echo ‘ OK’;
}else{
echo ‘ NO’;
}
echo ‘

’;
}
}
}
closedir($dh);
}
}
//把生成文件的过程写出函数
function tofile($file_name,$file_content){
if (is_file ($file_name)){
@unlink ($file_name);
}
$handle = fopen ($file_name,”w”);
if (!is_writable ($file_name)){
return false;
}
if (!fwrite ($handle,$file_content)){
return false;
}
fclose ($handle); //关闭指针
return $file_name;
}
?>
“http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>

批量替换程序(UTF-8版)

本程序可以扫描指定目录的所有文件，进行内容替换。可用于被批量挂马的删除以及批量更新页面某些内容。

在文件数量非常多的情况下，本操作比较占用服务器资源，请确脚本超时限制时间允许更改，否则可能无法完成操作。

” name=”form1″ target=”stafrm” method=”post”>

起始根路径：	点表示当前目录，末尾不要加/ 包含此目录下所有目录
文件扩展名：	多个请用|隔开
内容替换选项： 使用正则表达式 替换内容类默认使用字符串替换，也可以使用正则表达式(需勾选)。”替换为”不填写的话，就表示删除”替换内容”。  替换内容： 替 换 为：

需要主要，要把网站的php版本改成5.6或者一下的，7或以上本版会出问题，先改成5.6，后面再改回来就行了。

保存好文件后，通过网站域名访问这个文件，把那个“包含此目录下所有目录”勾选起来，把挂马的内容放在替换内容框内，替换为这个框不用填，点击执行即可。

如果你的挂马内容是有规律变化的，如：

zheshiyigeguama.com/1-tiaozhuandao=xinlianjie.com

zheshiyigeguama.com/2-tiaozhuandao=xinlianjie.com

zheshiyigeguama.com/3-tiaozhuandao=xinlianjie.com

这样的你把正则表达式勾起来，然后按照正则表达式通配符编辑批量替换成空的就行了。

最后还要强调一点，处理完挂马后这个文件要删除掉，不然被别人发现，他能根据你的网站结构破坏网站，你精心修改的模板给你全部清空啥的。

当然了，经历了挂马事件后，记得以后要经常备份，再次遇到挂马直接清空上传备份的文件和数据库就好了。