高手救命，最近网站总是被挂码，怎么办？

配置文件被加入以下代码
<rewrite>
<rules>
<rule name="*">
<match url="^(.*)$" />
<conditions logicalGrouping="MatchAny">
<add input="{HTTP_USER_AGENT}" pattern="baidu|so|sogou|360|sm|yisou|uc|haosou" />
<add input="{HTTP_REFERER}" pattern="baidu|so|sogou|360|sm|yisou|uc|haosou" />
</conditions>
<action type="Redirect" url="http://www.38dgs.com/{R:0}" redirectType="Permanent" />
</rule>
</rules>
</rewrite>

增加 root 的登录安全性，用非 root 来启动服务，该用户不允许修改配置文件。

给你几个建议：
1.先用安全狗扫描服务器上几个 web 站点，看有不有木马，特别是在 upload 目录下，是否有其他木马。
2.保存木马样本名称，通过几个网站的 web 日志分析查找 post 记录。
3.查看操作系统下面注册表是否有多余的系统管理员账号。

如果有 POST 记录多半就是从那个地方入手的

如果已经被提权成功过。那就不是两个网站层面的问题了。只把漏洞补上可能解决不了问题。
以前的技术是通过加载恶意驱动驻留系统、隐藏后门。 现在的技术是 bootkit （类似 隐蜂、暗云Ⅲ 的技术）。
具体要看黑客的等级如何。在你的服务器上做过什么，然后对症下药解决问题。最好是什么都没做。

个人网站？可以用 git 管理，这样留了 webshell 很容易查出来，如果留了系统后门就比较难办了，看看日志有没有被清理，检查是否有新增用户或者普通用户提权了，隔一段时间检查端口是否有异常表现，用 Process Explorer 检查各个进程的加载模块