if (action.equals("exit")) {
    session.removeAttribute("password");
    response.sendRedirect(request.getRequestURI());
    out.close();
    return;
}

不是想着怎么补救吗？看一下程序哪里有漏洞，赶紧补程序，装个安全狗什么的挡一下。


} else {
……
po 主这样的页面……后面干脆就不看了……

版本控制的重要性。。。以前我们服务器也被挂马了，不过处理这种病毒很烦，所以通过负载均衡把流量导入其他服务器，直接重装系统，加固安全，重新部署。。。
如果你有自动部署环境和代码的话，会非常快。

看系统日志与 web server 日志

还有文件修改时间

文件修改时间也是可以通过马来改的

要是被留下各种猥琐后门，还真不好找出来。重装吧

你们不备份么。。？直接回滚不就好了。。顶多丢些缓存。。要么就是看修改时间，要么就是找出来插入的代码，批量替换掉

有备份就回滚吧，没有的话建议如下：
1. 日志
2. 文件修改时间
3. 网上搜索下相关脚本，对 web 目录进行查杀
4. 判断是否被提权，如被提权注意用户， crontab 任务

楼主你这都已经被挂马了，我觉得还是先将问题主机下线，查日志，找到漏洞从哪里产生，黑客干了什么，把这些摸清楚以便于及时堵住漏洞和清理后门，然后给服务器做点基本的安全加固（尤其是 web 服务低权限运行），至于你说的查询文件变动，我推荐 tripwire ，很不错的工具

更新的时候有没有每个文件做个校验和？ 没有的话 回退吧

linux 还是重装吧

楼主一定要确保 web 服务器是低权限运行，只允许访问指定的文件扩展名。即使有网页木马也没任何关系，直接删除即可。
我自己维护的服务器很多都出现这种情况，客户的网页漏洞多得不得了，天天中木马，我都到了不想删除的地步。虚拟主机服务器上网页木马一堆堆，删都删除不完。
我自己的服务器也有网页中木马的情况，我分析开发人员完全解决不可能。所以服务器有系统防火墙， web 服务器有 web 防火墙， php 内部代码有简单的过滤代码。这个方案上线了 2 个月，解决了之前 1 年都没解决的被挂马的情况。

现在楼主已经中木马，分析文件创建时间是最实际的方法。看系统日志之类的没任何作用。

云锁 你值得拥有

为什么有写权限的目录里面同时有执行权限呢？

1 ，版本控制工具看修改历史
2 ，可写目录决对不能有执行权限，可写目录的所有请求都当成文件下载，不执行
如果是服务器沦陷了，那就要堵服务器的漏洞了。

主题字数限制 裁剪了很多挂马的代码。