今天一个客户网站被挂马了，让我来查找。

他发现挂马的原因是网站时不时跳转到其他网站上，于是我就开始查网站。我把网站的代码全部下载到本地，每个文件都查找了没问题。

当我查看源码的时候，点击引用的JS文件发现，网页打开这个JS文件的时候，里面很明显是被挂马代码

\x67\x65\x74\x4D\x69\x6E\x75\x74\x65\x73

代码没有被修改过，从服务器下载到本地文件也是正确的，并没有上面的被植入的代码，于是我想到了服务器是不是有问题，于是去查找nginx问题，果然，nginx被挂马了

解决方案：

1. 升级宝塔nginx到最新版本

2. 升级宝塔版本到最新版

3. 有条件的使用宝塔软件库的《宝塔系统加固》

4. 删除被挂马文件

/var/tmp/systemd-private-56d86f7d8382402517f3b51625789161d2cb-chronyd.service-jP37av

/var/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av

/tmp/systemd-private-56d86f7d8382402517f3b5-jP37av

/var/tmp/count

/var/tmp/count.txt

/var/tmp/backkk

/var/tmp/msglog.txt