今天下午差不多三点的样子，看到一个工单。竟然是12：50提交的，我当时有点懵逼，卧槽。为毛系统没有给我发邮件，
我心里默默的暗骂了一波垃圾邮件系统垃圾邮件系统，垃圾QQ转发垃圾QQ转发。

点开工单之后，mmp又是挂马。当时我就无语了。昨天一台挖矿，今天又一台被挂马了。我当时就无奈了。那么直接上去看看呗。

那么 ， 就轻车熟路连上宝塔。没有CPU 内存 负载没有发现任何情况，我当时思路就是这个样子的。既然被挂马了。那就找日志文件呗
 

你妹啊，这么大，让我怎么找么，既然这条路行不通。那么我就转换一下思维。既然被挂马了。那么一定会有登陆记录吧，就顺手查看一下用户呗

 
吓死人了。一个uid0 gid0 的用户，这是超级管理员啊。龌蹉，龌蹉。只有这两个字能说明的惊讶之心。
既然看到用户了。那么就删除呗

我记得我上次好像用过一个exp 直接把/etc/passwd 替换的。我想想那个exp的使用方法。先在可以执行的文件夹建立一个passwd文件
我猜这个应该和这个没有任何差别

看来我猜想的没有错。那么就查这个用户的登陆地址呗
last 命令

找到一个IP 香港的，我知道这个绝对不是对方黑客的IP  所以我想怎么去防止这个事情。
那么先把这个用户清理吧
首先把那两个用户删除吧。
后面删除/tmp 下面的用户家目录
后面加固一波

转回网站。
查看一下网站。不查不知道，一查吓一跳 妈的这管理员，也是亮瞎了我的十八K的钛合金的眼睛
 
压缩包你们都不知道删除的啊，网站代码被别人下载了。就等着被日吧。
我就帮忙删除了一波。
#############查看一下数据库吧
 
数据库root权限已经被拿下。 。。。。。。。。。。。 这个。。。。删除呗，禁止3306访问呗，我也是很无奈
看看宝塔面板里面有没有开放端口

进入服务器查看 还是被清理的一干二净
 
tmd 好恶心啊。这帮人 ，全部禁止端口。只允许ssh http 端口访问
那么下一步就是网站的防御了。了解到是一个海洋的cms 还是一个 6.45的版本，那么去tools论坛搜索一波。发现还真有一个这个帖子按照那个帖子我发现还真是一个漏洞。grep 一波 @eval  $_POST 这样的组合
发现一个异常php打开一下。还真的是木马文件，那么删除吧。
讲到了这里我们应该加固了。 首先最简单的加固方法 开启waf 防火墙  禁止函数


 

禁用php危险函数呗
disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,eval,phpinfo
实在我就恶心一把把phpinfo禁止掉。

###############
完
提醒大家如果是开源的cms 建议多升级............. 还有一个没有说的，那个管理员就是用的root用户作为网站连接用户。这样做就是做死