宝塔面板eval防护及木马发现(thinkphp5.0.23)

背景：网站被挂马，并且被改动了index.php。导致显示的入口文件为挂马文件

1、查看被攻击的当天的访问日志。

 tail www.***-access_log

如图所示，我们看到日志的日期格式为[31/Jan/2019]

然后过滤到当天的查询日志，并保存文件

cat www.***-access_log | grep "30/Jan/2019" > /tmp/2019-01-30.log

2、打开下载的文件，因为Thinkphp5是不存在.php文件的执行，然后我们就可以在日志文件查询.php文件执行记录

根据截图我们可以看到很多木马文件，然后我们一个个去清理这些文件。

然后我们有个疑问？这些文件从哪里进来的？

带着这个文件我去查了一下原来有个ckplayer播放器，这个播放器带有flash。

攻击者是通过flash来把文件上传上来，然后我们就把这个入口也清掉。

3、下载并查