@78778443 对。。。就是我，我还纳闷这个 readme 怎么一股熟悉的味道

我想起来了，之前是用 discuz 的 UI 吧，我还给你提过 issue /cry

随手一试就出现了飘准的 404 http://lanjie.host.zzidc.ha.cn/404.html

1.不用
2.不会
3.不是

转入的时候按照 namesilo 的资费交一年的费用，
然后域名所有权期限+1 年，
无须缴纳其他费用
（>=10 年时可能就不是这样了）

我前天误将烟头丢可乐里，然后喝了一口，也拉肚子了

打破第四面墙 +1000
愚蠢的唯心主义者 -1000

gandi +10086
这几天正在把 io 域名转入 gandi，2014 年国内某注册商的代理那买的，3 年每年 600+，太贵了，gandi 只要 184 :)
以前一年的费用在 gandi 能续三年
如果一直用 gandi，1900+的费用能续十年了

兼职安全运维，你要我吗😜

这说明

登录时恢复关闭前的窗口？可能你关电脑的时候没有退迅雷

有有有!

@Muninn 整个 v2 我最懂你

@syncher 我 telegram https://telegram.me/ioLeon 方便的话联系我，详聊一下你的环境配置，我想复现一下

@syncher 补一点
前面你说“可笑的是当天的登陆日志被清空了，后来改了 root 账号的密码。”和“发现是我 PHP 没有配置时区报错，错误信息主要来自一个内网 IP。”，估计你们内网已经沦陷了。

@syncher PHP 云人才系统(PHPYun) 是这个 ?

我又仔细看了一下帖子，现在估计可能是这样的
1.cms 存在注入漏洞，黑客利用注入以及 php 的报错信息，获得了网站的物理路径，然后利用 mysql 的 ` select 0xXXXXX into outfile '/path/to/website' ` 得到了一个 webshell，从而控制网站。（最有可能）
2.cms 存在注入漏洞 /任意文件读取，黑客通过注入 /任意文件读取（万一 CMS 作者是个极品,把帐号放配置文件里了呢）获得管理员帐号密码并扫描出后台，登录，上传 webshell （可能性略低）
3.cms 存在命令执行漏洞，然后`echo >` 或 file_put_contents 得到 webshell （可能性最低）

:cry: 也没有看到楼主自己说的 mysql 用 root 用户，我真的瞎了，看眼病去。。。

#12 的回复没看到#5 =-= 瞎了，还自己目测了一遍，尴尬。
楼主方便透露一下 cms 和它的版本信息吗

不一定是 root 账户失窃。
看你描述，目测一下
php 版本可能是 5.x，没做过滤, gpc=off,
mysql 直接用 root 登录的吧
网站目录权限 777 或 775
如果真是 root 账户被盗取，那你肯定没有修改 sshd 监听端口

建议：
备份数据库，重新搭个环境啦。
mysql 每个库对应一个用户，权限也只给对应库的操作权限
php 建议开魔术引号，如果过滤做不好的话，一些危险的函数建议禁用，危险的操作一定要过滤或写死
目录的话按照#10 @des 的建议没有问题
修改 sshd 端口并上传公钥

估计是黑客通过 注入+mysql / 上传 / 命令执行 的问题在你的 web 目录下生成了 webshell，然后你的 web 目录权限又不严谨，就直接挂广告了。可能是某黑产牛吧（瞎猜）。