0x5c0f
20190401 一台管理的服务器站点被挂马,由于该服务器并未交接于我们管理,因此部署环境后就再也没有维护过,也没有对站点代码进行备份,发现木马的时候应该是客户那边提交过来的,上级找到我让我看下怎么回事,观察到的故障是前端网页打开过程中加载其他资源,但有查询不到夹在的是什么资源。确认木马是阿里云后台显示了存在多个网站后门脚本,因为有时候平台也可能出现误报情况,加上后台代码没有备份,也不能还原和确认是否是被上传了文件还是修改了文件,从阿里云后台下载了一个后门文件,本地的杀毒软件直接就报了告警,后来找到了项目源码,对比后发现后端告警的页面全部是属于新增页面,手动删除后检查站点发现还是不可用,多方对比后发现首页已经变成了一个php后缀的html页面,还原后站点正常。由于数据库使用的是阿里云的云数据库rds,也没有管理权限无法查证数据是否存在问题。服务器方面由于站点习惯性用普通用户管理的,也暂时没有发现被提权的情况。这是我开始运维生涯中遇到的第二次入侵,第一次是笔记本下了一个开源项目,然后那个开源项目中包含了挖坑病毒,庆幸的是这个病毒没有啥传染性,清理起来也不是很麻烦,第二次就是这个服务器站点被挂马了。关于这个服务器被挂马也是个人原因吧,虽然客户并未将管理权限交接与我们,但服务器环境部署却是我们做的,如果当时全部按照标准来做的话,基本是不会出现这种情况的。