QZPHP系统是我公司自主研发，其中WAF防火墙插件是我们重点研发的，此功能提供的功能，在市面上基本都是按年收费的，一般需要数千元每年，而我们目前是免费提供给客户使用的。言归正传，说收我们WAF防火墙插件吧。

WAF防火墙插件有很多功能，我们今天暂时直说其中的一个定时检测防篡改的功能。默认系统会在60分钟检测一次系统，看是否有文件被修改，如果被修改会触发报警并通过微信通知管理员，当然如果管理员主动修改，后台可以上报云端，则不会触发。

昨天我们运维人员及客户管理员微信收到一条报警通知，提示系统可能被篡改

接下来我们立即联系客户看是否是主动修改，还是被非法入侵了，对比报警钱和报警后的两个文件，发现被上传了一个info.php的文件，经过客户确认没有主动修改，那么第一反应是系统出现了问题，随后向客户索取了服务器账号密码，进入服务器进行分析。

一、系统防火墙没有任何拦截记录，这很可疑，因为一般被入侵，黑客基本不可能一招攻破，至少要有入侵的痕迹，但是这个没有拦截记录，不合常规。

二、同服务器有其他网站系统，那么就可以解释上面第一个疑问，通过攻破其他网站，然后直接获取了服务器的权限，可以上传入侵文件。但是这个需要证据，比如其他网站是否存在同样的文件，是否有先被入侵的记录，如果能证明这两个问题，基本上可以判定这个结论逻辑正确。

三、

1、看了下服务器上面有5个网站，所有网站都存在这个非法入侵的info.php文件。

2、查看这5个网站的网站日志发现，我们的网站日志只有4条相关的信息，先是2个访问这个文件的记录，提示404，还有2条提示200，意思先有两条访问不存在，此时应该还没有被上传文件，后面就直接访问成功了，应该是已经上传了，但是没有任何入侵，攻击的记录。

3、其中一个网站存在大量的入侵记录，且上传这个非法文件的时间要早于我们系统，可知，这个网站是源头。

四、经过以上分析，基本可以断定，黑客是通过非法入侵了同服务器的其他网站，然后控制服务器，最终在服务器上的所有网站都上传了非法文件。

五、为了进一步证实这个结论，我们向客户了解，这个源头网站是哪家开发公司的，是否存在漏洞，客户说这个网站是30块钱在网上买的。那么基本就是了，网上的系统基本都有漏洞后门，30块钱的系统，客户也是胆肥。

最后删除非法文件，重新校验我们的系统，发现仅是被上传了非法文件，未篡改任何其他文件。