记一次站点坎坷防护排查经历

来Track安全社区投稿~  

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）

小编寄语：你的个人站点是否也遭受过入侵？一起来和作者亲历排查过程！

一个朋友突然给我说，他下载了一套源码，刚搭建没多久，就被人入侵了（网上VIP随便下载的精品源码），登录网站后，无法显示，我就心想闲着也是闲着，当做练练手，然后要了宝塔登录看看。初步看了下

登录之前

登录之后

我拿到宝塔后，首先先打开了一次数据库，发现配置信息全部修改了

接着我又看了下日志，发现是被弱密码登录进去，原本账号：admin 密码：654321

第一次我赶紧把数据库还原，代码备份，以及修改数据库密码，后台密码，操作完一系列，恢复成入侵之前，就没管。朋友又测试了下功能，点了下导出（本身源码丢失，phpexcel），然后又触发了这个数据库修改，又成功被修改数据了！

我干脆把源码下载到本地看看，用杀毒工具先杀毒一遍，找出了3个图片码，当时我就猜想，触发这数据修改的，应该不是这图片码导致的，而是自动执行的脚本木马

接着我还原数据库，索性不管了，到了第二天，有事外出到晚上，我又发现数据被修改了，反正我备份了很多数据库。每一个阶段的处理都基本有，哈哈不用担心，反正也是练练手，继续还原数据库，也顺带安装了一个微步木马扫描。

对于thinkphp框架来讲，要想执行代码文件，就必须把执行文件放入到根目录/public下，但是我又查杀了一遍，之前没有查完，每次10M以内，public目录下就20多M了，分批查，又查出来了一个文件（记得多几个平台查杀），继续接着删除，但是我猜想不是这些木马触发的，应该是被植入了进程类，远程触发的！

接着第三天中午12点，又触发了这个修改数据，我当时吃饭没空看，就还原了下。

等了1小时左右，又触发了写入，同时也被微步木马扫描，检测到，发现是thinkphp里面的扩展触发的。这些扩展又不能去除，如果强行去除掉，源码就会报错。

继续看微步检测日志，看了下Task任务，我就想着是不是触发了linux定时任务，进行反弹的。我用 crontab -l 查看了下定时任务，发现没有任何东西

接着我继续查看了下php代码里面的定时任务文件，发现有了好几个文件，我看了下源码，里面源码也没有写什么功能，无非就是后台写了一个定时任务的功能，可以通过后台设置定时任务，php代码里面的定时任务就会监测表里面的设置，然后走定时任务。。。但是总后台没有看到有这块功能，估计隐藏了。

所以我把这块的文件全部删除了，修改了下sys.php，隐藏这一块的文件，就不会报错了。

我之前笨了，为啥没有想到看nginx日志，看看哪里请求，请求了什么，才导致这个问题出来的，结果翻看了下日志，也没有发现什么。有几个国外的 IP，请求了一些报错路径信息，可能是之前把定时任务触发那块的代码隐藏了，结果无法启动扩展的东西，就显示报错了。

也看了下进程，太多了，懒得看了，区分不出来哪种可疑的，这里也应该可以查看 awk 命令（who | awk '{print $1}' ）或者用 cat /etc/passwd | grep "/bin/bash" ，查看系统有哪些登录账号，一时忘记了！

同时我把源码里面的控制器send发送通知消息这块也屏蔽了。因为通过看日志，黑客请求也走了这块，进行发送通知勒索100美刀的。

按照源码来看，这源码应该历经了几代不一样的人接手过，我把该找的木马文件，都找了，该去掉的和屏蔽的，都操作了，但是还能触发这样条件，所以猜想应该木马写进了进程。所以时不时远程触发一下。按照道理，我应该要安装个监控软件，早期也可以查看nginx日志，TP框架日志，也能知道是不是代码原因导致，这样可以知道具体问题具体分析！！

我把源码拷贝下来，重装了一次系统，源码重新搭建。IP不变，域名不变，就是把系统换成了centos7.6版本，软件也没有乱装和启动。安全度过了10天，期待看看下次还会不会出现被写入，如果还被写入，继续往死里盯着，安装上各种出网监控。如果还想进一步完善，之前看到有图片码，所以这套源码肯定也会存在文件上传漏洞之类的，也可以入手修复这块。

目前我所做的修复：

1：把权限设置成对应的权限目录，不像之前朋友设置全部777权限，root权限

2：后台密码全部修改过

3：数据库密码也换了，数据库配置也不允许外部访问

4：把该删除，没用的php文件都删除了

5：TP框架全版本也检测了遍