网站好像中木马了如何处理

sawdust

这是我朋友6月初发生的，下述简称我进行描述。
情况：腾讯云提醒我有木马（存在于服务器根目录的tmp文件夹内），然后我去宝塔，把这个文件删了；然后第二天这个木马又有了（文件名字不一样，但是大差不差，后缀内容也一样），腾讯云又提醒我了，然后我把宝塔七里八里的安全软件（加固和防篡改软件等等）全部安装了，最近一个月腾讯云都没提示了。

环境：正版子比，开心宝塔btsb，安装了nginx防火墙和wordfence，Ubuntu 24.04.2 LTS (Noble Numbat) x86_64(Py3.7.16)，还有一些美化插件（都是正版，但不排除有漏洞或者后门），还有一些美化功能的文件（我自己也不清楚有哪些了，原先没记录）

1-我个人认知中，中毒要么是弱密码；nginx或者主题或者wp等有漏洞；安装了有后门的插件；大佬们，我的这属于哪一种?

我的认知是：如果是宝塔开心或者插件有后门，那么攻击者完全没必要在根目录的tmp文件夹折腾，直接用www权限改我的网站内容不就行了（目前网站也无异常）。

问题：

1-如上，我认为后门情况可能性低，大概率是漏洞导致的，那么怎么找到这个漏洞在哪呢？我都开了nginx防火墙和wordfence，它是怎么绕过的，还是说没绕过，因为它没真正进入网站目录，只存在于根目录的tmp文件夹下，是哪个防火墙挡住它了吗？如何让它tmp都传不进来？

（我不太了解各个防火墙的起作用的时间点，所以有上述疑问，我问ai说nginx防火墙和wordfence会在文件上传到tmp临时文件夹前就起作用，如果这样的话，说明被绕过了，那是哪个防火墙阻止了目录进入网站目录呢？当时没开防篡改）

2-现在安装了加固和防篡改，腾讯云也已经不提示了危险，还需要管嘛？后续怎么操作才能保证安全？原先漏洞没挡住它进入tmp，现在什么宝塔安全软件都都装上了，它好像传不进tmp了（我的疑惑主要就是这个，如果我上述认知是正确的话，主要疑问就是：哪个防火墙起作用让它现在进不来tmp了，原先也有对应防火墙，为什么没起作用。）

3-数据库可能被植入木马吗？那些软件都可以扫网站木马，但是我不会怎么去判断数据库有没有被注入木马，求教怎么扫描数据库木马。

4-我的上述认知正确嘛。求大佬指点！！ 2.png (67.36 KB, 下载次数: 0)

2025-7-20 23:45 上传

点击文件名下载附件

1.png (37.87 KB, 下载次数: 0)

2025-7-20 23:45 上传

点击文件名下载附件

3.png (55.07 KB, 下载次数: 0)

2025-7-20 23:45 上传

点击文件名下载附件

4.png (60.63 KB, 下载次数: 0)

2025-7-20 23:45 上传

点击文件名下载附件

5.png (58.17 KB, 下载次数: 0)

2025-7-20 23:46 上传

点击文件名下载附件