文章总结： 本文记录了一次网站安全应急响应过程：朋友下载的源码因弱密码被入侵，黑客植入木马并修改数据库。通过多次查杀木马、删除可疑文件、修改密码、调整目录权限、分析日志与进程，最终采用重装系统彻底解决问题。关键发现是木马可能通过定时任务或隐藏进程远程触发，建议加强权限管理、定期扫描和日志监控。 综合评分： 72 文章分类： 应急响应,漏洞分析,安全建设,WEB安全,安全意识

新手防护历经坎坷的几天

zkaq-小渣渣 zkaq-小渣渣

掌控安全EDU

2026年4月9日 12:46 江西

扫码领资料

获网安教程

本文由掌控安全学院 – 小渣渣 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（  https://bbs.zkaq.cn   ）****

一个朋友突然给我说，他下载了一套源码，刚搭建没多久，就被人入侵了（网上VIP随便下载的精品源码），登录网站后，无法显示，我就心想闲着也是闲着，当做练练手，然后要了宝塔登录看看。初步看了下，是那种杀猪源码！

登录之前

登录之后

我拿到宝塔后，首先先打开了一次数据库，发现配置信息全部修改了

接着我又看了下日志，发现是被弱密码登录进去，原本账号：admin 密码：654321

第一次我赶紧把数据库还原，代码备份，以及修改数据库密码，后台密码，操作完一系列，恢复成入侵之前，就没管。朋友又测试了下功能，点了下导出（本身源码丢失，phpexcel），然后又触发了这个数据库修改，又成功被修改数据了！

我干脆把源码下载到本地看看，用杀毒工具先杀毒一遍，找出了3个图片码，当时我就猜想，触发这数据修改的，应该不是这图片码导致的，而是自动执行的脚本木马

接着我还原数据库，索性不管了，到了第二天，有事外出到晚上，我又发现数据被修改了，反正我备份了很多数据库。每一个阶段的处理都基本有，哈哈不用担心，反正也是练练手，继续还原数据库，也顺带安装了一个微步木马扫描。

对于thinkphp框架来讲，要想执行代码文件，就必须把执行文件放入到根目录/public下，但是我又查杀了一遍，之前没有查完，每次10M以内，public目录下就20多M了，分批查，又查出来了一个文件（记得多几个平台查杀），继续接着删除，但是我猜想不是这些木马触发的，应该是被植入了进程类，远程触发的！

接着第三天中午12点，又触发了这个修改数据，我当时吃饭没空看，就随便还原了下。

等了1小时左右，又触发了写入，同时也被微步木马扫描，检测到，发现是thinkphp里面的扩展触发的。这些扩展又不能去除，如果强行去除掉，源码就会报错。

继续看微步检测日志，看了下Task任务，我就想着是不是触发了linux定时任务，进行反弹的。我用 crontab -l 查看了下定时任务，发现没有任何东西

接着我继续查看了下php代码里面的定时任务文件，发现有了好几个文件，我看了下源码，里面源码也没有写什么功能，无非就是后台写了一个定时任务的功能，可以通过后台设置定时任务，php代码里面的定时任务就会监测表里面的设置，然后走定时任务。。。但是总后台没有看到有这块功能，估计隐藏了。

所以我把这块的文件全部删除了，修改了下sys.php，隐藏这一块的文件，就不会报错了。

后面相安无事了1天，接着11号睡醒后，朋友告诉我又触发了，触发的内容是勒索100美刀，我快笑死了，前端页面没问题，就是后台登录进去，变成了勒索，之前是前端和后台都变化无法打开，这次只是变化后台，看来之前修复的还是有点效果，估计急眼，想要money了！

我之前笨了，为啥没有想到看nginx日志，看看哪里请求，请求了什么，才导致这个问题出来的，结果翻看了下日志，也没有发现什么。有几个国外的 IP，请求了一些报错路径信息，可能是之前把定时任务触发那块的代码隐藏了，结果无法启动扩展的东西，就显示报错了。

也看了下进程，太多了，懒得看了，区分不出来哪种可疑的，这里也应该可以查看 awk 命令（who | awk ‘{print $1}’ ）或者用 cat /etc/passwd | grep “/bin/bash” ，查看系统有哪些登录账号，一时忘记了！

同时我把源码里面的控制器send发送通知消息这块也屏蔽了。因为通过看日志，黑客请求也走了这块，进行发送通知勒索100美刀的。

按照源码来看，这源码应该历经了几代不一样的人接手过，我把该找的木马文件，都找了，该去掉的和屏蔽的，都操作了，但是还能触发这样条件，所以猜想应该木马写进了进程。所以时不时远程触发一下。按照道理，我应该要安装个监控软件，早期也可以查看nginx日志，TP框架日志，也能知道是不是代码原因导致，这样可以知道具体问题具体分析！！

我把源码拷贝下来，重装了一次系统，源码重新搭建。IP不变，域名不变，就是把系统换成了centos7.6版本，软件也没有乱装和启动。安全度过了10天，期待看看下次还会不会出现被写入，如果还被写入，继续往死里盯着，安装上各种出网监控。如果还想进一步完善，之前看到有图片码，所以这套源码肯定也会存在文件上传漏洞之类的，也可以入手修复这块。

目前我所做的修复：

1：把权限设置成对应的权限目录，不像之前朋友设置全部777权限，root权限

2：后台密码全部修改过

3：数据库密码也换了，数据库配置也不允许外部访问

4：把该删除，没用的php文件都删除了

5：TP框架全版本也检测了遍

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-小渣渣 zkaq-小渣渣《新手防护历经坎坷的几天》