公司官网是WordPress做的,也不是内部二次开发,是外包给其他人,最近发现官网有webshell后门,很多文件被修改了,官网内容也被调整了。
排查是WordPress插件引起的导致的,首先排查服务器当前用户,进程查看,然后对比项目代码文件,把被修改的文件删除(webshell后门文件),然后检查服务器文件夹权限。
把阿里云服务防护提交到企业级,然后对服务全盘安全扫描。最终定位发现有个定时脚本被安装,每隔15分钟被执行,安装在nginx的执行用户下面。发现问题根源了,再观察2周看看。
WordPress插件还是不能信任,漏洞太多了,插件都是运营人员下载执行的。