晚上11點多，落后一個做主機業務的伴侶，接洽到我說，他一客戶的網站，被掛彈窗，彈的是一成*人用品的網站。

網站或許環境，Linode東京高配的VPS，CentOS系統，LNMP情況，跑的Discuz X 2.5，會見量不小。

開始先用下面這樣的呼吁查找
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'
webshell常用函數都查了一遍，并沒有發明可疑文件。

可是伴侶告之，網站最近二天都被竄悔改，，不按時呈現彈窗，然后過不久又消失。
以此判定，作惡的人必然會會見到webshell，通過webshell修改網站上的文件 。
萬幸，處事器上保存了或許三天的Nginx日志。

把日志文件整理了下，執行下面的呼吁
cat *.log|grep "POST"|grep 200  | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
功效如下圖：

這個呼吁的浸染是把日志里被POST方法請求的文件全部列出來。
從webshell風行起來開始，險些所有的webshell都以POST方法來提交操縱請求，目標就是把參數在日志里埋沒掉，因為凡是日志并不會記錄POST參數。
可是物極必反，這一思路形成主流后反而給查抄提供了利便。

上面列出的這些文件險些都查抄了一遍，多余的就不多說了，最后問題確定在/source/archiver/common/footer.php這個文件上，文件內容如下圖：

這個include一下就袒露了。

先到日志里查一下請求這個文件用的GET參數，如下圖：


順勢找到/uc_server/data/tmp/upload753178.jpg這個文件 。
打開后，在最后發明：

到這里，一切豁然開朗，這是菜刀的后門。

跋文：
從日志來看，三四天以來差不多天天會有一次行動，而每次用完菜刀，會到百度去搜索某一個要害詞，而排第一的正是這個網站，然后再通過百度鏈接來會見網站。可以看出，作惡者的目標是想挾制網站的百度等搜索引擎流量 ，這樣搞一通下來，正是在做測試。可是挾制代碼有問題，因為每次出彈窗的時候，直接打開網站也會彈，也正是因為這樣，每次呈現彈窗不久就又被作惡者去除。最后的結論是，1）木馬好久前就已經上傳，可是日志已經不在，無法確定是怎么傳上來的；2）此刻搞彈窗的人并不是傳馬的人，很有大概是買來的。