起因

2021年8月27日晚上11点左右，在研究某网站的插件造成数据库爆炸，导致绑定的域名无法访问。
感觉问题不大，重启了宝塔面板和重启了服务器，结果还是不能访问。心想着第二天恢复数据库解决。
然后就去睡觉了。
半夜2点的时候看网站还是无法访问（宝塔面板正常）。

服务器无法登陆

2021年8月28日早上八点多连接服务器发现拒绝访问（用的是WIN2019,都是记住凭证的）。心想这是服务器密码被改了呀。
直到11点半左右登陆腾讯云控制台重置了服务器密码。登陆后发现我的网站（wwwroot目录）被神秘人删除了。
桌面上孤零零地留着一个宝塔面板，面板显示宝塔的账号密码也被重置了。心里暗想，这是被入侵了呀。

查看服务器日志

正在检查服务器的时候，突然远程连接被断开，再次尝试登陆的时候又提示拒绝访问（密码又被改了），我心想，刚刚重置的密码又被改，应该是服务器有木马搞的鬼（手动操作除非有腾讯云控制台）。于是我又重置密码远程连接去查服务器日志，看看对方到底是谁。

再次登陆迅速查看服务器日志（登陆日志ID是4648），找了几分钟终于找到神秘人的IP地址。

日志显示早上7点20左右，111.34.189.17该IP登陆了我的服务器。也就是我服务器被入侵的时间。
还发现一个奇奇怪怪的东西，不知道是什么，截图先。

IP显示是山东的一位神秘人搞的。把我服务器数据全部删除了（当时保留了宝塔面板），到了中午12点我去吃饭。回来后发现服务器密码又被篡改了，我心里更加确定服务器有木马了。等我下午13点多再重置密码登录发现连宝塔都被删除了，啥也没了。可恶的是连服务器日志都被清空了。

没办法，自认倒霉吧。还好数据不是很重要的（主要是我有备份，好习惯么么哒）

系统重装

待续....