网站被挂马，我不断删除他们生成恶意的文件，今天把它惹毛了，删除了我的站点代码，目前我掌握的信息如下

报警啊

@ho121 已经报警，没什么用，录了口供，让我自己加强防护

日志没异常，那估计就是通过网站框架的远程执行命令漏洞入侵的。你启动网站框架是不是用的 root 用户?如果是的话，对方很容易得到有 root 权限的 shell。最好用非 root 权限启动网站框架

开启你网站后，看看对外产生了那些连接 ，使用 netstat 命令

如果是 webshell，web 服务的日志应该会有记录吧

用 last 命令看一下，感觉是拿了 root 权限

为什么不先改密码？

@ys0290 请忽略我

重装系统~！

换程序！！！！

http access 日志能看到他怎么进来的

@WordTian 确实是 root 权限，谢谢提醒

@kuretru last 命令看过，没有异常

@zc666 嗯，要看日志记录

@acgnsstech 苦逼啊，装系统就图片文件就要 2T，转移是个问题，而且其他目录下面还运行着其他项目。暂时不能重装

應該是通過 web shell 獲取了 web 根目錄的 root 權限，你可以搜索一下你的开源的框架有沒有 CVE，趕緊換一個新的框架

估计你这框架漏洞不少

安全狗 阿里云盾 云锁 手工搞不定就用工具

请问楼主是什么 WEB 环境？ LAMP 吗？

我感觉是 ``eval`` 函数的锅，站点没注入了，你可以尝试以下操作：

1. 查看最近两天被修改过的 PHP 文件（假设你站点是 PHP ）
```
find -mtime -2 -type f -name \*.php
```
2. 查找是否有木马
```
grep -r --include=*.php '[^a-z]eval($_POST' /path/to/site/
grep -r --include=*.php '[^a-z]eval($_' /path/to/site/
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /path/to/site/
```

一些建议：
1. 如果是 PHP 环境，确保运行 PHP 的用户为一般用户，如 www
2. 禁用 PHP 危险函数，如 eval,exec,phpinfo 等
3. 改变 PHP 文件的权限：644
4. 关闭上传目录的 PHP 执行权限
5. 如果是 Apache，可以使用 mod_security 模块防止 SQL 注入、XSS 攻击。

感觉楼主是 php 网站，我司 java 技术栈， 生产新开个 zuul 网关，access 日志看到一堆奇怪的.php 结尾 url，当时就在想 php 漏洞这么多？

你用的什么框架？ Linux 而且还有框架的话，常见的是 jsp 程序用的 Struts-2，甚至你的 tomcat 等应用版本过老也有可能被直接攻击拿到 root 权限。这种事情还是平时安装安全软件，云平台的话启用云安全防护。出了事，如果事小只能自己报警然而如果你自己提供不了足以抓到对方的证据警察也没办法。还是找专业人士来溯源吧。