一键全站挂马 https://i.imgur.com/Ug1iMq4.png
网站可能存在上传漏洞。非必要目录只读，文件读写目录去掉执行权限

花钱请人..比如我 😄

大概率是框架问题，和 composer 无关

阿里云有个 waf2.0 ，比较便宜，至少过滤规则啥的比较省心。

楼主，找到 thinkphp 的漏洞了没？我的站用 thinkphp5.0.24 也被改过文件，把我惹急了，直接把上传的地方取消了。消停了好久，最近，我的 aaPanel 挂了，起不来了。不晓得是不是黑客搞的鬼。还安装了一个 dzx3.4 ，不晓得是不是这个的问题。

宝塔啊
那正常

定期升级框架，关注框架的安全修复日志，及时更新

@pikko #1 小白求解，如果把 ssh 端口从 22 换成其他端口有用吗

首先开源代码，要及时更新。

php 网站，首先要把所有 php 文件权限设置成只读+运行。然后临时目录可以写但是不允许执行。
同时可以 nginx 里设置 php 白名单，即只有白名单的文件可以运行解析，其余的一概返回 444 。

作为一个 6phper,宝塔很正常啊。

自己部署? 在搞笑吗
先不说时间成本,就说安全。
宝塔默认生产环境,eval system 函数都给你禁了,.user.ini 也帮你设置好了。
人家就是专门做这个的,这么大用户量,他不知道安全是什么?
对于小白,自己部署会配置吗

我用了几年宝塔,也没见过被入侵。
composer 漏洞,要是有这个,早就暴雷了,就像之前 tp 上传漏洞暴雷。
autoload_real.php 每次请求都会加载,又隐蔽,确实是放马的好位置。

至于漏洞,估代码的问题,很大可能是上传问题。
1. 源头验证:校验后缀。  (校验 mine-type 没用,随便绕 后缀现在似乎不行了)
2. 不给执行: 上传保存路径是 public,别人访问就可以直接执行,或者直接换成云存储。
当然不排除服务器被攻克的可能。