一个月之前我也碰到了跟你相同的情况，我现在大概能猜出中招的原因，并不是网站被注入了恶意代码，而是我在服务器上安装一个 youtube 上提供的脚本做测试的时候，那脚本被别人留了后门，劫持篡改了网络，最终实现注入恶意代码在 web 请求上，网警都打给我了，被挂了赌博网站的链接，但是我又没办法查到他是怎么劫持的，也没办法解决，最后还是重装服务器，就一点问题都没有了，所以服务器的轻量化是很重要的，用宝塔的一键迁移，基本上解决了

用过多个 php ，知名的非知名的程序，没有不被黑的。最大问题就是上传执行 php 文件。换了其他语言，清净了

除了一些缓存目录把写入权限全关了，核心目录权限改了不要给 www 的运行用户和组。

盲猜网上买的 xx 源码，用了一段时间正常然后被传马，而很多人却在说是宝塔的问题或 TP 的问题，就论 TP 的一些漏洞也没有这么轻易能传马吧？用的 xx 源码里面的上传接口没做处理和过滤怪罪到框架真是抽象，我自己用 tp5.1 写的网站对外使用都 4 年多了，平均 IP1W 左右，从没发现被传马什么的，对外也没什么上传文件的接口！提交的内容也会做一些 xss 处理，本身框架的 orm 也会对 SQL 注入的简单过滤

黑客最喜欢 php ，asp 没有之三