背景:网站被挂马,并且被改动了index.php。导致显示的入口文件为挂马文件
1、查看被攻击的当天的访问日志。
tail www.***-access_log
如图所示,我们看到日志的日期格式为[31/Jan/2019]
然后过滤到当天的查询日志,并保存文件
cat www.***-access_log | grep "30/Jan/2019" > /tmp/2019-01-30.log
2、打开下载的文件,因为Thinkphp5是不存在.php文件的执行,然后我们就可以在日志文件查询.php文件执行记录
根据截图我们可以看到很多木马文件,然后我们一个个去清理这些文件。
然后我们有个疑问?这些文件从哪里进来的?
带着这个文件我去查了一下原来有个ckplayer播放器,这个播放器带有flash。
攻击者是通过flash来把文件上传上来,然后我们就把这个入口也清掉。