因为攻防这块 我并不是很在行，因此同事本次溯源我全程参与一下为了学习知识，也把过程记录下来。

今日日常维护打开网站发现有不对

官网有问题，第一反应被黑，文件有被改 速度恢复了官网

 服务器的内容全部与git 挂钩 因此恢复只需要指令git checkout . 就能做到，目前我们本地 服务器 git 三方都是备份，额外服务器配备了 云储存同步备份，因此整体来说已经是很安全的，黑了服务器不可能黑得了本地计算机吧，黑了本地不能黑到git吧，黑git也不可能同时黑到本地和服务器吧，三方都黑掉也不可能同时黑掉华为云储存桶和腾讯云储存桶吧，因此按道理我们备份机制还算可以。

耗时10分钟清除了所有被改文件，官网恢复正常

内部小伙伴一经讨论准备溯源本次事件始末，虽然原因是由于没开防篡改导致的问题，但是我们想深入查看下源头问题。

开始翻日志可得，首先进入服务器日志查看

/www/wwwlogs

由于是发现songshu.youyacao.com被黑 因此直接下载songshu官网得日志查看

 分析过程省略，

得到

 根据同事（大佬）得描述 是先 有了404.php  然后是menu.php  再次是1234567.php  然后再发现并不是从songshu开始得，而是从bbs下开始得，也就是discuz....这里因为songshu没有开防跨站得原因才会造成被连带，

中途分析内容省略得到

 通过分析可以推断攻击者的ip为119.3.112.*这个网段的，但是由于攻击者会使用动态代理ip因此只有他露马脚得时候 移交相关证据才是合适得。

目前根据已知shell分析的内容也可以，由于我们out.log文件高达1.75g，因此只能精准ip去分析

 经过种种分析，最后“意外”得到他了 工具，然后我们来看看此工具能做些什么。

态度非常嚣张嘛，不得不说是个人才，就是心思用错了地方。

虽然不知道他这工具是不是他自己得，反正感觉态度挺嚣张，能够成功进来 并且造成短暂得问题已经很不容易了，毕竟我们得防御也不差得。 

然后跳过这里，我们继续深究源头，有2个惊讶得地方，一个是开了防跨站依然跨了，doc目录是开了防跨站得。

查看了所有songshu和bbs站得记录，虽然有shell但是并无危险操作，排除这两是罪魁祸首。

目前不得解得是 通过哪个产品得 漏洞进入并放了工具，因此必须继续追一下。

后续分析到源头会再次更新，目前还在进行溯源。