标准宝塔环境 NGINX 被挂码问题排查

检查服务，比如经典 redis 。
检查代码，有无 webshell 。
检查 ssh log ，有无弱口令。

单纯的一个宝塔，还是宝塔上开着 web 站点？

@flywuhu 宝塔环境 + php 站点， 可以基本可以确定 php 站点 是安全的，有完整的 php 站点请求审计，不可能是 php 网站的 漏洞

@learningman 多台服务器出现了这个情况， 部分安装 redis 部分没安装 ，切端口均不对外，
php 站点 基本可以排除 webshell ， 即使有没检查到的 web 漏洞， 也不会被轻松提权到 root 。 被挂码文件是 root 权限的
ssh 爆破登入可以 100% 排除

补充说明，这些机器开通时间不一， 时间长的 1 年左右， 时间短的 10 天不到， 大部分机器都是近期开通的。 排除已知 ssh 安全漏洞和内部人为因素 。 肯定是外部入侵导致的

多台出现可能是 ssh 内网横移了，只有有一点被突破就够了

我的个人经验：
1 、业务代码一定要自己开发，毕竟成品如 wordpress 的漏洞你不一定第一时间会打补丁，更不用说你可能会用到的各种插件。
2 、服务器上千万别用盗版（破解版）
3 、尽量做到各个服务之间的环境隔离，目前最容易的就是容器化（ Docker compose 、K8S 、ECS 等）
4 、千万别让各个应用共享一个数据库用户，各个应用 /服务分别创建用户
5 、宝塔这样的第三方运维工具能不用就不用，必须用就用开源主流工具，如 Terraform 、Ansible 这样的。
6 、如果自己搞不定，可以考虑找个这方面的专家咨询或协助。

@learningman 没有内网， 都是公网 IP ，各不相同的内容，不同 地区机器， 相互直接没有登陆过

那就是不用宝塔

用了宝塔，只能先默认是宝塔的漏洞了。

不要用宝塔，最好手动部署

起码把你的马发出来吧。服务器被黑我碰到过两种情况一种就是 redis 对外访问还没口令。一种是用的 wp 用了网上的主题和扩展。

pma ？

第一次听到 bt 这个缩写我以为是 bt 下载 庆幸从未用过宝塔这种 debian 系 apt 安装已经够简单了 红帽系 yum slack 的 pacman 这些包管理一个比一个人性化 还想着投机取巧就有点说不过了

SELinux 开了没，看看记录

坐一个标准环境，啥都不放，看看会不会出问题

@xyjincan #15 会用 selinux 的还用装宝塔? 悖论呐

宝塔配 php 黑客最爱呀,别告诉我你用的是 thinkphp,如果是,那就马场

已经脱离宝塔，脱离 nginx 了。用 caddy

好歹发点有用的信息吧