服务器已被Nginx挂马的用户还需要做多几步操作：

1、清理木马，执行下面的命令即可自动化清理，命令会自动重装Nginx（清理木马之后请一定要清理浏览器缓存、有部署CDN的需要清理CDN缓存）

1. curl -sSO http://download.bt.cn/tools/wng_clean.py && python wng_clean.py && rm -rf wng_clean.py

复制代码

复制代码
2、升级至最新版，修改安全入口及账号密码，开启动态口令认证
3、【企业版防篡改-重构版】插件可以有效防止网站被篡改，建议开启并设置root用户禁止修改文件（需要使用时再放开），另外，将nginx关键执行目录（/www/server/nginx/sbin）锁住
4、【宝塔系统加固】插件中的【关键目录加固】功能，可以将nginx关键执行目录（/www/server/nginx/sbin）锁住，此目录在正常使用中不会有任何修改的行为，除了重装以外其他修改行为均可视为被篡改，所以将它锁上。


下面是目前已知木马特征：
明显现象：访问自己的网站跳转到其他非法网站
如果出现了上面的现象，排查是否符合下面的特征
1、使用无痕模式访问目标网站的js文件，内容中包含：_0xd4d9  或  _0x2551  或  _0xb2ce  或  _0xafac  关键词的
2、面板日志、系统日志都被清空过的
3、/www/server/nginx/sbin/nginx 被替换的，或者存在 /www/server/nginx/conf/btwaf/config 文件的
4、*期安装的nginx存在 /www/server/panel/data/nginx_md5.pl 文件，可与现有文件进行比较确认是否被修改（nginx_md5.pl文件是我们用来记录上一次安装nginx时的md5值，如果您的网站异常了，可以打开这个文件跟现在的/www/server/nginx/sbin/nginx文件md5做对比）






以上信息来着宝塔论坛更新内容可前往宝塔论坛查看

扫到木马文件了删除后还是跳广告