一个朋友突然给我说他下载了一套源码刚搭建没多久就被人入侵了网上VIP随便下载的精品源码登录网站后无法显示我就心想闲着也是闲着当做练练手然后要了宝塔登录看看。初步看了下是那种杀猪源码登录之前登录之后我拿到宝塔后首先先打开了一次数据库发现配置信息全部修改了接着我又看了下日志发现是被弱密码登录进去原本账号admin 密码654321第一次我赶紧把数据库还原代码备份以及修改数据库密码后台密码操作完一系列恢复成入侵之前就没管。朋友又测试了下功能点了下导出本身源码丢失phpexcel然后又触发了这个数据库修改又成功被修改数据了我干脆把源码下载到本地看看用杀毒工具先杀毒一遍找出了3个图片码当时我就猜想触发这数据修改的应该不是这图片码导致的而是自动执行的脚本木马接着我还原数据库索性不管了到了第二天有事外出到晚上我又发现数据被修改了反正我备份了很多数据库。每一个阶段的处理都基本有哈哈不用担心反正也是练练手继续还原数据库也顺带安装了一个微步木马扫描。对于thinkphp框架来讲要想执行代码文件就必须把执行文件放入到根目录/public下但是我又查杀了一遍之前没有查完每次10M以内public目录下就20多M了分批查又查出来了一个文件记得多几个平台查杀继续接着删除但是我猜想不是这些木马触发的应该是被植入了进程类远程触发的接着第三天中午12点又触发了这个修改数据我当时吃饭没空看就随便还原了下。等了1小时左右又触发了写入同时也被微步木马扫描检测到发现是thinkphp里面的扩展触发的。这些扩展又不能去除如果强行去除掉源码就会报错。继续看微步检测日志看了下Task任务我就想着是不是触发了linux定时任务进行反弹的。我用 crontab -l 查看了下定时任务发现没有任何东西接着我继续查看了下php代码里面的定时任务文件发现有了好几个文件我看了下源码里面源码也没有写什么功能无非就是后台写了一个定时任务的功能可以通过后台设置定时任务php代码里面的定时任务就会监测表里面的设置然后走定时任务。。。但是总后台没有看到有这块功能估计隐藏了。所以我把这块的文件全部删除了修改了下sys.php隐藏这一块的文件就不会报错了。后面相安无事了1天接着11号睡醒后朋友告诉我又触发了触发的内容是勒索100美刀我快笑死了前端页面没问题就是后台登录进去变成了勒索之前是前端和后台都变化无法打开这次只是变化后台看来之前修复的还是有点效果估计急眼想要money了我之前笨了为啥没有想到看nginx日志看看哪里请求请求了什么才导致这个问题出来的结果翻看了下日志也没有发现什么。有几个国外的 IP请求了一些报错路径信息可能是之前把定时任务触发那块的代码隐藏了结果无法启动扩展的东西就显示报错了。也看了下进程太多了懒得看了区分不出来哪种可疑的这里也应该可以查看 awk 命令who | awk {print $1} 或者用 cat /etc/passwd | grep /bin/bash 查看系统有哪些登录账号一时忘记了同时我把源码里面的控制器send发送通知消息这块也屏蔽了。因为通过看日志黑客请求也走了这块进行发送通知勒索100美刀的。按照源码来看这源码应该历经了几代不一样的人接手过我把该找的木马文件都找了该去掉的和屏蔽的都操作了但是还能触发这样条件所以猜想应该木马写进了进程。所以时不时远程触发一下。按照道理我应该要安装个监控软件早期也可以查看nginx日志TP框架日志也能知道是不是代码原因导致这样可以知道具体问题具体分析我把源码拷贝下来重装了一次系统源码重新搭建。IP不变域名不变就是把系统换成了centos7.6版本软件也没有乱装和启动。安全度过了10天期待看看下次还会不会出现被写入如果还被写入继续往死里盯着安装上各种出网监控。如果还想进一步完善之前看到有图片码所以这套源码肯定也会存在文件上传漏洞之类的也可以入手修复这块。目前我所做的修复1把权限设置成对应的权限目录不像之前朋友设置全部777权限root权限2后台密码全部修改过3数据库密码也换了数据库配置也不允许外部访问4把该删除没用的php文件都删除了5TP框架全版本也检测了遍申明本公众号所分享内容仅用于网络安全技术讨论切勿用于违法途径所有渗透都需获取授权违者后果自行承担与本号及作者无关请谨记守法.