20190401 一台管理的服务器站点被挂马，由于该服务器并未交接于我们管理，因此部署环境后就再也没有维护过，也没有对站点代码进行备份，发现木马的时候应该是客户那边提交过来的，上级找到我让我看下怎么回事，观察到的故障是前端网页打开过程中加载其他资源，但有查询不到夹在的是什么资源。确认木马是阿里云后台显示了存在多个网站后门脚本，因为有时候平台也可能出现误报情况，加上后台代码没有备份，也不能还原和确认是否是被上传了文件还是修改了文件，从阿里云后台下载了一个后门文件，本地的杀毒软件直接就报了告警，后来找到了项目源码，对比后发现后端告警的页面全部是属于新增页面，手动删除后检查站点发现还是不可用，多方对比后发现首页已经变成了一个php后缀的html页面，还原后站点正常。由于数据库使用的是阿里云的云数据库rds，也没有管理权限无法查证数据是否存在问题。服务器方面由于站点习惯性用普通用户管理的，也暂时没有发现被提权的情况。这是我开始运维生涯中遇到的第二次入侵，第一次是笔记本下了一个开源项目，然后那个开源项目中包含了挖坑病毒，庆幸的是这个病毒没有啥传染性，清理起来也不是很麻烦，第二次就是这个服务器站点被挂马了。关于这个服务器被挂马也是个人原因吧，虽然客户并未将管理权限交接与我们，但服务器环境部署却是我们做的，如果当时全部按照标准来做的话，基本是不会出现这种情况的。