1、公司编写一套自动查杀木马程序，系统自动检查并发送警报到企业微信；
维护自己的木马库，白名单库，具有较强的针对性；
2、宝塔防篡改服务开启，Nginx防火墙开启；

今日公司有一个官网，宝塔防篡改也开启了，人工查杀木马查了好几遍，首页总是被篡改，或者整个网站项目删除，重命名一个别的文件夹（黑客还是有一定良心的，留有备份）

排查过程如下：
1、删除网站所有PHP文件只留下静态页面；
2、第二天观察发现，首页照样被篡改，这样就可以猜想，服务器里面有木马、或者宝塔中木马、或者有跨站攻击从别的网站木马攻击过来的；
3、在宝塔里面把所有网站仿跨站攻击开启，观察情况；
4、发现所有网站都开启仿跨站后，这个网站就不会再被篡改了，至此正确查找到黑客攻击根源，是从其他网站的木马，没有开启仿跨站导致其有操作其他站点的权限！

经验：宝塔的仿跨站每个网站都一定要开启！！！