网站频繁被挂码（植入恶意代码）通常意味着存在严重的安全漏洞或防护措施不足。以下是系统性的解决方案，帮助你彻底排查和修复问题：

一、立即应急处理

1. 隔离服务器

   • 暂时关闭网站或切换至维护页面，防止恶意代码进一步传播。
   • 如果使用云服务器，创建当前系统快照（用于后续取证），然后隔离服务器。

2. 重置敏感信息

   • 修改服务器SSH/FTP、数据库、后台管理账号的密码，确保所有权限凭证更新。

二、彻底清除恶意代码

1. 全盘扫描文件

   • 使用杀毒工具（如 ClamAV、rkhunter）扫描服务器，定位恶意文件。
   • 对比原始备份或版本控制（如Git）中的文件，检查被篡改的网页文件（如index.php、.htaccess）。

2. 手动排查隐藏后门

   • 检查以下目录和文件：

     • /tmp、/dev/shm 等临时目录中的可疑文件。
     • 网站根目录下的隐藏文件（如.config.php、.ico.php）。
     • 非标准命名的文件（如文件名包含随机字符 x7sdg.php）。

   • 使用命令快速查找近期修改的文件：

     find /var/www/html -mtime -3 -type f  # 查找3天内修改过的文件

3. 数据库检查

   • 检查数据库中是否被注入恶意代码（如 <script> 或 eval( 语句）。
   • 清理可疑的存储过程、触发器或预存代码。

三、漏洞分析与修复

1. 确定入侵途径

   • 检查服务器日志（Apache/Nginx日志、系统日志 /var/log/auth.log）：

     • 大量404错误可能代表攻击者在扫描路径。
     • 异常的POST请求可能指向表单注入漏洞。
     • 成功登录的IP是否来自异常地区。
   • 使用工具分析日志（如 Logwatch 或 GoAccess）。

2. 修复安全漏洞

   • CMS/框架更新：确保WordPress、插件、主题等升级到最新版本。
   • 代码审计：检查上传功能、SQL查询、文件包含等是否存在漏洞（如未过滤的用户输入）。
   • 禁用危险函数：在 php.ini 中禁用 exec、system、eval 等函数。

   • 配置防护：

     • 设置 .htaccess 或 nginx.conf 限制敏感目录访问（如 /wp-admin）。
     • 禁用目录遍历（Options -Indexes）。

四、服务器安全加固

1. 权限控制

   • 网站目录权限设为 755（目录）和 644（文件），避免使用 777。
   • 运行Web服务的用户（如 www-data）不应有SSH或系统管理员权限。

2. 防火墙配置

   • 启用云服务商提供的WAF（如Cloudflare、AWS Shield），过滤SQL注入、XSS等攻击。
   • 服务器端配置防火墙（iptables/ufw），限制非必要端口访问。

3. 入侵防御

   • 安装文件监控工具（如 Tripwire、AIDE），实时检测文件变动。
   • 使用 Fail2ban 自动封禁暴力破解IP。

五、长期防护策略

1. 定期备份与验证

   • 每日自动备份网站文件和数据库，存储于异地（如AWS S3）。
   • 定期测试备份的可用性（还原测试）。

2. 渗透测试

   • 使用工具（如 Nessus、Metasploit）模拟攻击，验证修复效果。
   • 聘请安全团队进行代码审计和漏洞评估。

3. 监控与告警

   • 配置服务器资源监控（CPU/内存异常）、流量突变告警。
   • 使用Sentry等工具监控网站错误日志，及时发现异常行为。

六、其他建议

• 更换服务器：如果攻击者已深入系统（如root提权），建议迁移到新服务器并彻底重装环境。
• 法律途径：若造成重大损失，保存日志证据并向网警报案。

通过以上步骤，90%的挂码问题可被根治。若仍无法解决，建议联系专业安全公司（如知道创宇、Sucuri）进行深度处理。