如果一个 PHP 文件已经删除所有写入权限，还有其他办法通过程序去修改吗

只是权限标识，高权账号可以先改权限标识，弄完后再还原权限

@iyiluo 这种可以用单纯 php 实现吗

这个和 php 文件本身没关系，和运行 php 的容器权限有关系，比如 php 文件只有读取权限 但 php-fpm 是 root 运行的，那么 php 的执行权限就是 root

@815979670 执行用户是 www,我确保这个用户没有修改权限

这个你查一下文件修改日志. 看这个修改是哪个用户操作的, 你就知道是 root 还是 www 用户了. 如果是 www 用户, 那再查一下请求日志. 可以看是哪个请求修改的

@simonlu9 #2 如果执行 php 的用户有权限,那么 php 可以

答非所问：
用 `chattr +i /path/file` 锁定后可以防止一些 webshell ，想取消了可以执行 `chattr -i /path/file`

@MrUser 已改，试下这个方法，昨晚又被改了，我通过 ssh 登录日志，audit 审计日志，观察过，没有发现异常的，很好奇是怎么修改的，百思不得其解

@simonlu9 audit 都开了还没看出来问题？？

@julyclyde 是的，很明显文件变化了，但 audit 日志根本没有

@simonlu9 是不是连内核都脏了啊？