一键清理挂马脚本：

curl -sS -O https://raw.githubusercontent.com/woniu336/open_shell/main/xiu.sh && chmod +x xiu.sh && ./xiu.sh

1：脚本会把网站配置文件备份到/home/back目录

2：/template 以及 /upload目录内的所有 .php 文件删除

3：检查并处理 template 和 upload 文件夹内的文件

4：删除 template 和 upload 文件夹内包含 <?php 或 {php 代码段的文件

5：将删除的文件备份到/home/back目录

这样的好处是，在你查看/home/back，你会看到哪些文件是添加了<?php 或 {php 代码的，

除了配置文件本身存在一个<?php内是一个return array返回数组,如果还有其他<?php块就是后门

剩下的html文件请仔细检查

注意：为了安全起见 每次发现被挂马后应该用以下方法来处理！！！

黑客入侵后可能在数据库挂js，可能在网站目录任何角落留下php后门，用以下方法可以快速清理干净php后门，不用一个一个文件去分析。

1，备份原网站配置文件 ，并检查里边是否有后门代码，正常情况下<?php内是一个return array返回数组，如果还有其他<?php块就是后门。
\application\database.php
\application\route.php
\application\extra\maccms.php
\application\extra\bind.php
\application\extra\timming.php
\application\extra\vodplayer.php
\application\extra\voddowner.php
\application\extra\vodserver.php

2，检查以下目录搜索 *.php ，删除所有;并检查模板文件内是否有<?php或{php代码段删除。
\template\
\upload\

3，删除原有目录及所有文件，并下载最新程序包，覆盖
\addons\
\application\
\extend\
\static\
\runtime\
\thinkphp\
\vendor\
\说明文档\
\admin.php 自定义后台入口文件
\api.php 自定义api入口文件
\index.php
\install.php

4，把刚才备份的配置文件覆盖到application下即可

5，修改后台入口文件名；登录后台检查管理员账号并修改密码，删除多余被黑客创建的账号；