Pbootcms挂马解决方案

Pbootcms被黑挂马，查不到木马病毒文件，pbootcms和其他CMS一样，安全漏洞也是其无法避免的问题。虽然官方不断发布补丁、升级版本，但安全问题依然存在。

Pbootcms被黑挂马解决办法：

1、如果网站定期有备份，可以将近期备份的网站重新上传恢复，并更新到系统最新版本。

2、如果没有备份，可以保留data、template、static三个文件夹，其余的都删除，然后拿最新的程序进行覆盖，注意别覆盖刚才保留的三个文件夹。（这里的方案仅针对pbootcms官方程序，二开过的程序需另行处理）版本差异过大的，可能会有意外情况，按照报错内容进行修复即可。

3、复制pbootcms最新程序核心文件，替换根目录apps以及core文件,如果本地没有备份保存,那么可以进网站后台选择升级到最近版本。

4、修改data文件夹名字，自己随便换一个名字即可。

然后打开config文件夹，用html编辑器，编辑database.php这个文件，把里面的data改成和刚刚修改过的data文件夹一样的名字，如图。

5、修改robots.txt文件添加针对首页问题的拒绝访问规则。

User-agent: *
Allow: /
User-agent: *

Disallow: /admin/*

Disallow: /skin/

Disallow: /template/

Disallow: /static/*

Disallow: /api/*

Disallow: /?*

Disallow: /app*/

Disallow: /app

6、将网站根目录的文件读写权限设置为555，注意data、static、runtime这三个文件夹除外。

7、修改后台登录地址及账号密码，根目录admin.php文件夹名字换掉（比如ht9527-user.php），自己随便换一个复杂名字即可。

修改后新的后台地址就是：https//www.域名/ht9527-user.php

然后进入后台修改账号密码：点击右上角角修改原始账号密码，使用字母+符号+数字最佳。

8、以上步骤全部完成后，最好在检查一下文件：“根目录”、“static”、“template”，如果遇到可疑或者被挂马文件直接删除。

注意：可以查看文件修改时间进行排除，如果有的文件夹”修改日期“显示近期的时间，一定要重点检查一下里面的文件内容，重点：前端代码的模版文件：html和js也要重点检查一下，如果没问题之后，可以上传对程序进行替换。

最后，可以将服务器一些不用端口禁用，然后对服务器上网站进行防跨站攻击开启。如果有条件的可以安装一些商用防火墙、web防御系统等。

pbootcms网站被黑挂马怎么处理呢？

网站被黑以后对方会在首页进行插入一些对方的信息,这里是关于一个体育的灰网的站点,而且这里对方还做了一个小的识别,那就是你直接输入网址或者通过收藏夹进入的都是正常的,但是通过搜索引擎点击进入的就会进行跳转到对方的网站.这里对方使用的是js的方式进行跳转的。

首先要清除木马，最有效办法是将文件下载到本地，然后用web木马扫描工具将整个网站进行扫描，操作如下：

1、下载一个D盾，使用D盾进行扫描php文件，通过扫描我们可以看到关于PHP后缀的文件的一些涉及危险操作的文件，如果你的Pbootcms系统没有进行过二开，也没有使用其他的一些含有加密授权插件的话，那么除了Kernel.php这个官方授权加盟文件外，其他的文件都是对方上传的后门文件了，我们要做的就是在D盾中通过右键选择删除的方式进行删除这些后门文件。

下载地址：https://www.d99net.net/

网盘链接：https://pan.baidu.com/s/1XP2sedbKxOXWYYHY2jVNeg              提取码：f7t8

打开D盾，自定义扫描，选择目录文件（ WWW\core\basic\Kernel.php 该文件为Pbootcms授权文件，不用处理。）

2、操作完d盾以后我们还需要寻找对方留下的js文件以及html文件，对方会把我们根目录下的index.php给修改的同时还会上传一个m.html类似名称的html文件，这里我们可以根据前面我们清理的后台文件的上传时间得知哪些文件是同一天被修改的，那么我们也就需要删除根目录下的这些文件。

删除以后看我们的首页引用的js文件路径是哪里，然后找到对应的目录，看看这些js文件有没有被修改。如果遇到个js文件被对方加入了代码，把这个也删除就好了（删除对方加入的代码，不是删除整个js文件，如果你有本地备份直接替换也可以）。