記錄thinkPHP5.0被掛馬後的處理

1、thinkPHP5.0爆出getshell漏洞

• http://127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();

2、經過升級thinkPHP版本到5.1.x以後就須要刪除項目代碼的掛馬文件

3、尋找掛馬文件

• 以TP框架爲例，首先查找public文件夾和themes文件夾有沒有php文件，或者是一些特殊的php文件，有的話直接幹掉就好
• 建議從新用composer安裝一個新版本的TP框架，而後把thinkphp目錄和vendor替換你原來項目的這兩個文件
• 再去控制器（controller）或者模型（model）目錄找一下特殊文件，通常都是加密過的代碼
• 最後使用工具D遁webshell來尋找項目中是否存在隱患後門文件，而後自行判斷刪除便可

---

D遁webshell工具轉自52破解吧的htcperfect貼主

下載地址：

　　百度網盤連接: https://pan.baidu.com/s/1nvTOKJJ 密碼: neal

工具的使用（ps:暫時只能在本地使用，沒有Linux版，線上的項目請自行拉到本地掃描）：

1.選擇項目目錄

2.選中後會自動掃描，或者手動點擊‘開始掃描‘按鈕，就能夠看到否是存在後面隱患文件