标准宝塔环境 NGINX 被挂码问题排查

/www/server/nginx/waf/config 拓展名都没有，php 能解析？文件内容发一下呢

查日志，WEB 日志、系统日志，总会有蛛丝马迹的

宝塔端口有对外么？

自己手动搭建 php 的环境是不是更安全。生产环境，千万不要使用什么一键安装、什么套件包，你很难相信有没有私货。

宝塔自己夹带私货，建议别用

type=PROCTITLE msg=audit(11/08/2022 11:35:38.933:42110) : proctitle=/usr/sbin/crond -n
type=PATH msg=audit(11/08/2022 11:35:38.933:42110) : item=1 name=/www/server/nginx/waf/config inode=2315713966 dev=fd:00 mode=file,644 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:default_t:s0 objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(11/08/2022 11:35:38.933:42110) : item=0 name=/www/server/nginx/waf/ inode=2148973883 dev=fd:00 mode=dir,755 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=CWD msg=audit(11/08/2022 11:35:38.933:42110) : cwd=/
type=SYSCALL msg=audit(11/08/2022 11:35:38.933:42110) : arch=x86_64 syscall=open success=yes exit=10 a0=0x7fb668026ab0
a1=O_WRONLY|O_CREAT|O_TRUNC a2=0666 a3=0x24 items=2 ppid=75054 pid=125380 auid=unset uid=root
gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none)
ses=unset comm=crond exe=/usr/sbin/crond subj=system_u:system_r:crond_t:s0-s0:c0.c1023 key=config

现在能确认到 /usr/sbin/crond -n 这个命令过程执行了 create 操作。
直接 SHELL 执行， /usr/sbin/crond -n
回显 "crond: can't lock /var/run/crond.pid, otherpid may be 109408: Resource temporarily unavailable"
crond 守护进程状态正常， 通过 rpm -ql 在 逐个对比 文件 md5 也没发现被篡改的地方，
哪位老板能支支招，怎么查这个问题

@bobryjosin 不是自己的机器，跨部门的

@R18 挂码内容是 lua 写的 概率跳转。 被挂了什么内容不是重点。 重点是怎么能一次次挂上去的。 参考最新发的 日志

@virusdefender config 是 在 waf 里面运行 lua 代码， 而且是明文， 代码内容是一定概率跳转 web 请求到 灰色网站上面，跟 config 内容没什么关系