记录一次-被挂马-被套路的径路

‘About thinkphp’

经历

1.早上与往常一样，打开了rds，想看一下自己昨天的优化效果

2.结果就发现了一个很严重的问题

3.这个凌晨4点钟的异常引起了我的注意，竟然会有这么奇怪的语句，不符合所有的脚本执行，也不可能是我们自己人为的，那么只有一种可能，就是有人入侵了！

4.随后我发现了这个

5 .这个时候，我才真正确定了，接口被人入侵了

6.数据库被入侵，我的第一反应，肯定是降低权限，限制入侵

7 .随后，我立刻开启了白名单目录，把所有的异常ip拦截掉

8.本来以为万事大吉的我，突然想起来，之前瞥到的一个漏洞

9.这个时候，我才明白，脑子里面逐渐浮现出，那个人是如何利用漏洞，如何拿到了 shell 的权限

10.没想到，thinkphp的漏洞那么猖獗，那么严重，竟然在过年前后，同时出现了2个极其爆炸性的漏洞，一个是request类的method方法的问题，我针对性的进行了过滤修改，另一个则是非严格路由导致的问题，那个非常难以修复，我还是只能选择升级版本进行修复

11.我正准备修复的时候，发现了一个更严重的问题，我很好奇，getshell是什么样的入侵行为，就去搜索了一下，发现了一个更让人吃惊的信息

12.getshell竟然会进行挂马，入侵，等一系列的严重行为

13.这个时候，我进入了根目录

14.我勒个去，这么多莫名其妙的文件，以及这些一个个如此严重的挂马情况

15.我的小伙伴好奇，随随便便进入了一个，发现里面竟然别有洞天

16.这些一个个只出现我曾经书本里面的名词，竟然实际上有人一个个去验证了

17.这下我的心情那个复杂的，就算我封了ip，ip也是无法进行拦截服务器ip的，所以如果他们依然使用服务器ip的话，依然可以入侵到数据库

18.而且从目前来看，第一步先是获取代码，第二个查看提现，难怪近些天总是反馈，有一些奇奇怪怪的空提现数据

19.弄清楚了这个人的一整套思路，就去找他的牟利手段了，他提现无非就是利用两个提现手段，否则怎么弄都是徒劳

20.很快我发现了这个有点奇怪，再一查，结果真的恐怖

思考

虽然这次好像没有造成什么损失，但是这么早的挂马，这么有预谋的提现，再加上之前的一些种种奇奇怪怪的提现情况，感觉好像有一些不对劲，之前很早就出现了，有一些用户有一些异常的数据

根据挂马的情况，我估计他们应该是还没有拿到root权限，只能依靠数据库信息进行一些操作，伪造的比较伪劣

处理

升级版本，降低权限，才是最好的解决方法