123移车扫码挪车系统使用的是公司自主研发的QZPHP框架，其中价值数千元的WAF防火墙是我们免费提供给客户使用的，WAF防火墙功能强大，本次的立功主角是其中的【系统篡改检测】功能，默认系统会在60分钟检测一次客户安装的123移车系统，看是否有文件被变更，如果是管理员或者开发人员主动变更，变更后，可以上报到云端，不会触发报警。如果是非法入侵篡改，则会触发这个报警。

昨天我们运维人员及客户管理员微信收到一条报警通知，提示系统可能被篡改

接下来我们立即联系客户看是否是主动修改，还是被非法入侵了

客户确认没动过系统，因为我们客户一般不懂技术，所以主动修改的可能性比较小，后面我们让客户告知我们服务器的账号和密码，我们进入服务器排查。

发现系统被上传了一个后面文件info.php

登录服务器我们发现，客户一台服务器运行多个网站

经过简单的对网站日志分析，发现其中一个网站第一次被入侵，然后整个服务器被黑，那么其中的网站全部感染并被上传了后门文件。

我们技术人员第一时间删除了非法文件，经过重新再次校对，发现挪车系统仅是被上传，并未被篡改其他文件。

本次非法文件上传，并非直接攻破挪车系统，而是采用攻破服务器其他网站，然后攻破服务器，最后感染服务器全部网站的方法。

这就要求一台服务器安装多个网站的，要确保网站的安全可靠，不要使用非常便宜，网站随便下载的系统，因为这类系统基本都有病毒留后门，你一旦安装，对方就知道了，然后偷偷黑进你服务器，感染其他网站，盗取整个服务器的数据。

我们再次和客户沟通，竟然发现网站是几十块钱买的。

我们及时清理了非法上传文件，猜测不法分子，肯定后门会再次通过这个非法文件进行入侵操作，刚刚又去查询了下客户的服务器，果然，在昨晚21:14:42不法分子再次连接这个非法文件info.php，但是系统已经删除这个文件，后门黑客发现链接不上，后面也没有其他动作，这也再次证明这个文件是通过外部渠道被上传的，因为如果是系统本身被入侵，黑客发现文件不存在，会再次利用之前的漏洞再次上传，而不是直接放弃。

再看同服务器其他网站，很遗憾仍然存在非法入侵文件

但是其他网站并非我们公司维护，所以只能通知客户自行处理了。

这里我们再次友情提醒：一台服务器安装多个网站的，要确保网站的安全可靠，不要使用非常便宜，网上随便下载的系统，因为这类系统基本都有病毒留后门，你一旦安装，对方就知道了，然后偷偷黑进你服务器，感染其他网站，盗取整个服务器的数据。