网站被恶意跳转劫持修复方法：网站被恶意跳转劫持怎么修复？零基

先别慌，确认你的网站真的被劫持了

很多站长发现网站打开后自动跳转到赌博、广告页面，第一反应就是被黑了。
但有时候可能是浏览器插件或者本地DNS缓存问题。建议你先用两部手机、一台电脑（尽量用不同网络）访问你的网站，如果只有某个设备跳转，大概率是本地问题；
如果所有设备都跳转，说明服务器端确实被入侵了。
另外，右键查看网页源码，如果在 HTML 头部或底部看到不明 JavaScript 或 iframe 标签，基本可以确认被植入了恶意跳转代码。

常见劫持藏身处：文件、数据库、中间件配置

恶意跳转代码经常藏在三个地方：

1. 网站源文件：比如 index.php、wp-config.php、.htaccess 或者主题模板文件里。攻击者会在文件末尾或者 PHP 标签外插入跳转脚本。
2. 数据库：如果你的网站使用 WordPress 等 CMS，恶意代码可能藏在 wp_options 表、文章内容或者插件数据里。常见的是通过 SQL 注入写入了带跳转功能的代码。
3. Nginx/Apache 配置：攻击者在服务器配置文件中添加 rewrite 规则，让所有请求都跳转到指定域名。尤其是使用了宝塔面板的服务器，要检查 nginx/conf/rewrite 或者 apache/conf/extra 目录下的规则文件。

分步修复操作：宝塔面板和命令行两种方案

方案一：宝塔面板用户（推荐新手）

1. 登录宝塔面板，进入「文件」- 找到网站根目录（一般在 /www/wwwroot/你的网站）。
2. 使用「批量搜索」功能，搜索关键词 window.location.href、eval(、base64_decode 等常见恶意函数。将搜索范围设为所有文件（包括隐藏文件），找到后直接删除可疑行或文件。
3. 进入「数据库」- 点击对应数据库的「管理」，在 phpMyAdmin 中执行 SQL：SELECT * FROM wp_options WHERE option_name LIKE '%malware%' OR option_value LIKE '%jump%' 替换表名前缀。如果发现恶意选项，直接删除该记录。也可以在管理后台搜索“header”、“redirect”等关键词。
4. 检查「网站」- 点击你的站点 -「配置文件」，看 rewrite 部分是否有 return 302 http://恶意域名 之类的规则，如果有直接删掉那行。
5. 清理完毕后，重启 Nginx 或 Apache 服务：在面板「服务」中重启对应服务。

方案二：SSH 命令行模式（适合懂一点点命令的用户）

# 进入网站根目录
cd /www/wwwroot/你的域名

# 查找包含跳转关键词的文件（递归）
grep -r "window.location.href" . --include="*.php" --include="*.html" --include="*.js"

# 查找 Base64 编码的恶意代码
grep -r "base64_decode" . --include="*.php"

# 找出最近 3 天被修改的文件，重点关注
find . -type f -mtime -3 -name "*.php"

如果找到可疑文件，先备份再删除：cp 文件名 文件名.bak && > 文件名 清空内容，或者直接 rm -f 文件名 删除。
对于数据库中的恶意内容，先用 mysqldump 备份，然后登录数据库执行清理 SQL。

新手最常踩的坑（避坑指南）

• 只清文件不改密码：清理完恶意代码后，一定要立即修改 FTP、数据库、宝塔面板的密码，否则攻击者很快会再次进入。建议同时修改服务器 SSH 端口。
• 忽略定时任务：检查 crontab -l 是否有可疑任务，例如每 5 分钟执行一次下载恶意文件的脚本。有则删除。
• 不理解“挂马”原理：恶意代码有时藏在图片 EXIF 信息或 .svg 文件中，肉眼看不到。建议用在线扫描工具（如 VirusTotal）上传可疑文件检测。
• 不重启服务：某些跳转规则是动态加载的，比如通过 .user.ini 或 .htaccess 自动生效，修改后必须重启 Web 服务或重载配置。

修复后怎么验证是否彻底清除

1. 用 curl 模拟访问：在服务器上执行 curl -I http://你的域名，看返回的 HTTP 状态码和 Location 头是否正常。如果返回 301/302 且指向陌生域名，说明还有跳转规则没清理干净。
2. 浏览器隐身模式打开网站，用不同网络（手机热点、公司网络）访问，确保没有跳转。
3. 登录百度搜索资源平台，查看抓取异常，确认蜘蛛是否也遇到跳转。如果有，再次排查全部文件。
4. 部署一个简单的文件完整性监控（比如使用 Tripwire 或宝塔的「文件监控」功能），以后文件异动马上告警。

如果你在处理过程中遇到“权限不足”或者“找不到可疑内容”等情况，可以尝试用杀毒脚本（如 CloudLinux 的 cagefs，或宝塔的「木马查杀」插件）全盘扫描。
实在不行就备份数据重装系统，这是最彻底但也是最麻烦的网站被恶意跳转劫持修复方法。