近日某个站长的discuz网站被快照劫持，在discuz后台查看最近修改文件，没有发现异常文件。

通过以往的案例分析，发现这次的网站挂马比较特殊。

后来在查看其网页源代码时发现，每个页面头部和底部都存在有异常代码。

上面截图就是异常代码，是一段VBS代码。

病毒劫持表现：

通过查阅资料发现，该svchost.exe病毒的危害主要表现为劫持硬盘中的所有html、php、txt等文件。

被劫持的文件都会被自动加上快照篡改代码，甚至无法彻底清除。

解决办法：

因为html和php文件都被劫持，只有重装才可以彻底解决问题。

我给的解决办法是：

1、将网站源文件及数据库备份

2、重装服务器系统：建议重新安装为linux系统，推荐使用centos6.x系列

数据备份好后，将服务器的各个磁盘都统一格式化。

3、按照discuz官方教程，重新安装discuz,并恢复数据

在重装discuz这里，我们只保留data 这个目录。

 

按照以上步骤操作后，问题基本解决。

 

svchost.exe病毒是windows系统下特有的，排查起来也比较麻烦，直接重装系统和网站是比较快捷的一个解决办法。

有条件的站长，可以考虑将服务器环境更换为linux,再配合使用wdcp或者宝塔控制面板，使用起来还是很方便的。

 

同时，各位站长一定要注意服务器安全，不明来源的程序、插件、模板一定不要随意安装。且一定要将服务器管理员密码设置的复杂一点，最好是可以定期更换。

 

更多服务器安全防护知识可以关注我的这篇文章：你的服务器还在裸奔？做好这6点，服务器才算安全了！