第一步，先把首页文件修改了，把非法代码去掉删除。（治标）
这类型的文件篡改一般都是通过 JS 判断 header 里的 refer 信息，如果是百度之类的搜索引擎就执行跳转，比较好定位。

第二步，先检查有关文件上传的代码，是否存在问题。然后排查数据库是否被注入。有条件的话可以根据日志进行查询，比如第一步定位 index 文件的修改时间，然后再这个时间范围内查找对应的 http 记录，看看是通过什么手段进行修改的。（治本）