记一次PHP木马清理事件

事件：
某海外金融系统，用户交易密码被修改并且绕过了用户端验证码，资金被转出，造成损失，因问题较多，各方人员均不知问题出现的环节，需要排查。
事件背景：
1、系统代码为购买代码二开，没有做任何安全检测（低代码低成本）；
2、代码为PHP开发；
3、线上环境为某塔集成安装，未做加固，无监控。

排查处理：
了解完信息后，应该先明确问题发生的场景，用户的交易密码被修改，并且没有触发业务场景中的短信验证码，
通过分析业务场景，只有后台和直接修改数据库可以做到，那么，锁定了排查方向，
可以先检查一下数据库是否有远程权限和用户，如果没有，那么大概率是后台被入侵。
后台被入侵，一般是管理员密码被爆破或者程序有后门，管理员密码被爆破这个不好明确，
只能通过对管理员账号的修复和增加验证码复杂度等业务约束来解决，可以放在最后，先排查代码中的后门。
（这里只记录木马排查清理过程，后续系统排查和清理将另行说明）
代码后门一般为以下4种：
1、以特殊代码文件存在，通常存在可访问文件夹下，例如一些一句话木马；
2、嵌入在正常执行逻辑中的可

记一次PHP木马清理事件最先出现在Python成神之路。