@realpg
@Sunyanzi
@hoythan
但是这种木马一般怎么感染的？单用户 WordPress+第三方评论有风险吗

#(滑稽) 遇到这种情况我就查 Git diff 然后 revert 了
毕竟 10 分钟自动 pull 一次（

@Sunyanzi
@hoythan
@realpg

问题已经解决，我找了个扫描器扫了一下，的确是有几个文件有很多莫名其妙的 eval ，干掉之后就没问题了。

也算是学习到了新姿势。。。

突然发现，连基本安全都不会做的生产服务器真的好多啊……

最常见的 PHP 木马，可是为什么， php 本身能写操作 php 文件呢……

我之前似乎在哪儿见过一眼这个症状 ... 应该是个蛮常见的 WordPress 木马 ...

处理的时候手杀就行 ... 在所有 php 文件里找 eval( 这个字符串 ... 然后把结果里看着不像好东西的删了就是 ...

以及月月你怎么就能觉得这是个安全功能呢 ... 怎么看怎么都是恶意的好吗 ...

@hoythan 在 wordpress 非常常见，如果你安全做不好，很容易被感染到这个文件。一般来说我都是清理好主题、插件，然后重新安装整个 wp 程序，不然总会有漏网之鱼。

不用考虑了，就是木马文件，这个你可以查找所有的 php 文件页脚，会有相关的代码，漏掉一个，就会全部自动生成。

@lyragosa 内容是什么 发出来看看

本人阿里云，同 WordPress 没有问题。

https://help.aliyun.com/knowledge_detail/6689106.html
这个试过吗

@rekulas
@sutra

问题是，这个文件是 wordpress 的配置文件，官方下载的包里面的。

根据这人的说法 “检查了文件，发现隐藏了木马”，貌似是 php 木马，如果是 php 木马那就好办，打包下载下来直接搜

据说是中了木马：
https://bbs.aliyun.com/read/252160.html?displayMode=1#761565

@lyragosa 你可以试试 root 添加个 php 测试看是不是 root 级别的软件 再依次 kill 排查。。。

目前解决办法是新建一个 444 的 0 字节同名文件占住坑，希望有效……

@hemingway 我也不知道是哪个进程改的啊，有文件系统变动审计日志一类的玩意吗？
@rekulas 不是我的机器，是帮别人看的，根本不知道他之前的运维都装了啥（反正机器上乱七八糟的啥都有便是了……

是你 vps 自己安装的软件干的吧 跟阿里应该没关系 检查 vps

你这个是 webshell ？

查出是系统哪个进程改的，把它杀了。