На этот вопрос уже есть ответ здесь:
Наша система предупредила меня о том, что в каталоге / tmp обнаружена оболочка PHP. Во-первых - я хотел бы знать, как он мог попасть сюда и почему он оказался здесь - можно ли каким-либо образом выполнить PHP на этом уровне?
Во-вторых, он каким-то образом был загружен через установку WordPress - отслеживая, как это произошло будет непросто, но есть ли у кого-нибудь общее представление о том, как это могло быть? На сайте нет общедоступных форм загрузки.
Спасибо, Крис.
Вы не упомянули, где находится ваша папка tmp относительно корневого веб-каталога, но во многих отношениях это не имеет значения. Может ли там выполняться PHP? Это зависит от конфигурации apache вашего / вашего веб-хоста. Как он туда попал? Опять же, это предположение, но:
Как Для того, чтобы узнать, откуда он пришел, лучше всего начать поиск в журналах веб-сервера. Вы ищете запросы, которые не подходят для обычного трафика. Например. страна исходного IP-адреса, какие ресурсы GET или POST.
Кроме того, если у вас нет надежного способа проверить, не был ли ваш сайт взломан другими способами, вам почти наверняка понадобится для восстановления последней удачной резервной копии.
Удачи