最近都比较忙,很少打理博客,昨天一位老客户向我反应我的网站被挂马了,还给我截图了。此时我还在外面,用手机查看了下,果然是被挂马了。回到家后迅速停止了网站访问,并把当前被挂马的源码打包到本地,也同时恢复了我本地的源码,网站恢复正常。
网站虽恢复正常,但是由于被挂马,被恶意转跳到菠菜网站,导致百度搜索里也被修改了:
怕接下来还会被挂马,我把一些不常用的文件都删掉了,权限也检查了一遍没什么问题。阿里云昨天凌晨4点帮我检测到了多个木马文件,没有太在意以为是误报,没想到是真的。接下来就是查挂马原因了,先检查Nginx访问日志,由于一整天的日志太多,不太好查,这时候刚好过了12点,我正准备先上服务器删掉一些无关文件时,在根目录竟然发现又多了一个log.php文件,下载下来果然是木马文件。马上查看日志,这时候日志内容不多,一条明显的注入链接就出来了:
这样基本上就能确定是由于ThinkPHP框架漏洞导致的了,马上网上搜搜了下相关的漏洞信息,发现ThinkPHP5.1.x有好多个版本都有漏洞
我正在使用的版本就是其中之一,我也不想马上去验证,先迅速更新到最新版,并且服务器上也做了更严格的限制,暂时应该是解决了这个漏洞问题。经过这次被挂马,也给我敲了个警钟,平时我也非常注重安全问题,对用户提交到参数也是非常严格过滤,但是万万没想到ThinkPHP爆出那么大的漏洞,还偏偏让我给遇上了。我的其它站都是采用我自己写的PHP框架,本来前段时间也打算把火端网络这个站也换上自己的PHP框架,但由于本站功能还挺多,迁移比较麻烦就放弃了。
用开源框架到也不是什么坏事,但是用的人多,也就越多黑客关注。ThinkPHP是一款很不错的PHP框架,不过我还是更喜欢自己写的框架,加上这次被挂马不得不放弃了它了,有空我还是会把本站的框架换掉。
安全第一!安全第一!