网站进入病毒,请求分析

老大你好!  我10月25号左右搬迁网站用的是 阿里云 用的现在的服务器和宝塔的系统,然后大约在  11月1号左右发现大部分网站
进入了异常文件,点击网站有时候会跳入别的网站,
然后我把所有的文件清空(用的是wordpress),当然图片和主题没动,数据库不变, 然后把所有的网站的登录密码修改了一次,吧BT的密码也修改了一次,以为没有问题了, 等于说吧网站重新安装了一次,重新上传了wordpress  我同是也发现BT多了如图最后的一个文件SWAP
但是昨天我发现异常文件有进入了.我也仔细分析了到底是哪里出了问题
1.是否之前安装宝塔的时候密码过于简单木马已经,进入所以不管怎么重新安装wp都是无济于事
2.病毒是否直接在wp的数据库,导致不管怎么装还是会侵入()
3.要是重新安装BT原来的数据是否还在,我的意思是重新装bt我上面的数据啊设置啊还在我就直接安装wp就可以
请求老大们帮忙分析解决一下,多谢了小弟在此感谢

首先，那个SWAP 的文件是一个交换分区，是优化系统性能的一个东西，这个可以忽略

另外，宝塔面板有登录日志（也包含错误密码记录），你具体排查一下日志，看看有没有其他IP登录记录，排除是否原因在于宝塔面板（宝塔密码被破解的可能性非常小）

检查你的代码，回忆一下是不是安装了什么插件之类的东西，然后出现了这种情况

dongyao 发表于 2017-11-6 11:32
首先，那个SWAP 的文件是一个交换分区，是优化系统性能的一个东西，这个可以忽略

另外，宝塔面板有登录日 ...

非常感谢

shlyp 发表于 2017-11-6 13:07
非常感谢

wordpress按理说一般不会在根目录下创建文件，就算创建也不可能这么没有规律，建议你看看那些文件，是不是VB病毒或者其他脚本病毒之类的，看不懂可以发上来截图

挂马了应该，将不常用的端口关闭，FTP、phpmyadmin等
不用时候也关闭，使用时候在开

你安装了破解的插件或主题了吧！

有偿手工检查挂马

mingxue 发表于 2017-11-15 00:41
wordpress按理说一般不会在根目录下创建文件，就算创建也不可能这么没有规律，建议你看看那些文件，是不 ...

谢谢回答我全部手动删除,

reishi 发表于 2017-11-22 15:08
你安装了破解的插件或主题了吧！

我估计也是这样,