阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理？

昨天是7月1日，我在晚上收到过一条短信，里面说：

【阿里云】尊敬的喜宝**午茶：云盾云安全中心检测到您的服务器：xx.xx.184.113（iZbp1j5nlzq4…）出现了紧急安全事件：发现后门(Webshell)文件，建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.kcLKJ 进行处理。

平常偶尔也会收到安全的提示，说有漏洞什么的。我看过之后都不以为意，不管它。

但是这条信息一看，就知道问题严重了。已经发现后门了。不用说就知道网站被人挂马了。这就不是漏洞那么简单了。别人可以直接把我网站都给端了。搞点其他的，比如挂黑链，挖矿，甚至给我网站删库跑跳都有可能。

而且，凌晨2点多，又发了一条。但那时候我已经躺下了。

所以，早上吃过早饭就开始想办法处理？先是登录阿里云安全中心，看到了一大排webshell提示：

但是，怎么找到木马文件呢？

第一种方案：既然你阿里云有能力检测到，意味着你可以处理。知道webshell在哪个位置。直接处理就OK啊。

但是，没有这么简单。因为不是免费的。提示要“高级版及以上才能使用”。


多少钱呢？60元每月。我不是心疼钱。关键是我这台vps上面就三个站，一个纯静态html，另外两个是wordpress站点。都不盈利，也不是好重要。60元你让我用一次，我绝逼不不干的。放弃。

第二种方案：当然是自己找啊。

但是我技术能力有限。对php都了解不多，你想要我找到木马。可能是老大难的一件事。

所以，我首先想到的是，把网站程序打包到本地。用D盾来扫一扫。看看能不能找到木马。

由于是1M的小水管，网站程序有100多M，要下载10来分钟。这过程中，我又想到既然是7月1日发现的。那就检查一下文件更改的时间，说不定能找到线索。

因为只有两站，直接在宝塔后台就能看到文件修改时间。

没想到真的发现了问题。其中一个一两年没有动过程序的站点，竟然被人挂马了。生成了一些莫名其妙的php文件。是在wordpress的主题目录下。看来这主题有后门吗？（我是找到某破解版，极有可能）。但是从2018年开始就在用，没想到这次出问题。

恰好我本地有这个主题当初的备份，主题目录下一共是34个文件，今天直接变成了45个文件。这些东西全是木马生成的。

我下载了其中一个php文件，打开一看，全是加密过的东西。不用说，虽然不懂，担是它是木马石锤。

所以，木马也就找到了。

但是网站程序这时也下载完了。我想在D盾里面查一查，能不能找到木马？

结果一查，还真的是火眼金睛，没错和上面手动分析的一样，是其中一个网站主题文件和插件都有挂马。网上查了一下，这个“background-image-cropper”插件可能是罪魁祸首。因为不止一人提到过这插件可能导致木马。而且在我的初始备份里，没有这款插件，居然是自动生成的？

知道了木马文件，怎么处理呢？

当然是用本地的初始文件进行替换了呗。

把被挂马的主题和插件全都删掉。再把wordpress版本升级到最新版。(原本版本还是4.9.15)

目前不得而知，这个漏洞是由于插件引起的还是主题引起的。我也分析不来代码，只能简单粗暴的，全体替换掉。

只是如果是主题引起的，那么原来的主题同样会再次受到攻击。

所以，我还在考虑是否更换一个主题。