这次挂马，怀疑真的与后台的程序更新有关。我有2个站，其中一个站还长时间没更新了（没登陆后台），没被挂；另一个站，被挂。

分享一下我的方法，与官方给出的差不多：

1、保留数据库；

2、UploadFiles文件夹中的图片，为了安全起见，我直接删掉了9月份以后上传的所有图片（包括投稿的文件夹、user文件夹下的），其余时间的保留。

3、然后删除其他所有文件（有的文件夹删不掉或是其他问题，找服务商删除）；或者1、2步骤做好后，将数据库和精简后的UploadFiles下载备份后，直接让服务商清空整个空间，这下就清净了~~~

4、在虚拟主机后台中首先设置好template,ks_data,config,api,upfiles,uploadfiles等文件夹，禁止运行脚本权限

5、修改admin目录中的“admin/ks.update.asp”，将自动检查新版关闭，如下：

'是否允许自动检测最新版本 true 允许 false 不允许
const EnabledAutoUpdate=true ,把true设成false

6、删除admin目录中的文件：ks.template.asp，admin/upfilesave.asp

7、删除User/UpFileSave.asp这个文件（或者就干脆不上传user目录）

8、然后上传上述程序（你的备份程序，或是最新版程序。前提是一定要先做5、6、7步）

9、重新生成html和频道。生成完毕后。删掉admin目录。

conn.asp中的认证码一定要改掉；数据库名字改复杂一点。

希望对大家有用。总之一个很重要的步骤，就是一定要先找到后门，如果实在找不到的话，可以试试我说的那样，直接删掉9月份以后的所有上传文件，一了百了~~~

大家试试吧，骂街也没用，官方比我们还着急~~~~

不是所有的虚拟主机都支持啊

lz的这步确实很重要

4、在虚拟主机后台中首先设置好template,ks_data,config,api,upfiles,uploadfiles等文件夹，禁止运行脚本权限

我昨天弄完后,就没再出事了,可以结合这个工具http://bbs.kesion.com/dispbbs.asp?boardid=44&Id=97881

找出你舍不得删除的目录里的后门,如uploadfiles

刚才忘记说了，模版文件自己先确认没被感染，然后备份一下~~

小贴士：

大家平时养成备份（程序、数据库、模板）的好习惯，可能做起来就会轻松一些。