.php.suspected - Wordpress AWS将替换.php文件

Question

最近我的wordpress站点被黑客入侵了，我通过重装wp-content文件夹的备份版本以及运行和修复站点中的wordfence插件来解决这个问题。但是我的网站显示500错误，当我发现问题出在aws-autoloader.php文件上。此aws-autoloader.php被替换为aws-autoloader.php可疑文件，因为该文件导致站点无法加载：

/var/www/html/wp-content/plugins/amazon-web-services/vendor/aws/aws-autoloader.php

该文件将重命名为aws-autoloader.php.Suspect。

有什么建议或意见来解决这个问题吗？

Answer 1

我认为这是有人在你的网站上运行vigilante malware cleaner的结果。

我会在您的WordPress安装中的某个地方查找web shell。我希望有一种简单的方法来查找web shell，但是没有。如果您可以访问Apache的access_log文件，请查看在文件名更改时调用了哪些URL。使用文本编辑器查看这些文件，看看是否存在一些杂乱无章的PHP。我得到的恶意软件清理程序还会将大多数web shell安装标记为".suspected"，因此它们可能会以独特的方式安装。