经常在技术分享板块看到有人发子比开心版，先是6.x版本，然后是7.1，现在貌似已经有7.2版本。

闲来无事我也安装了7.1的，但是检测出有后门预警，不仅宝塔查杀出后门，甚至在宝塔网页上打开后门文件连火绒都会报毒。

于是我开始仔细查看后门文件，发现有多层加密，于是开始解密，在服务器上调试解密后的后门文件大吃一惊。感觉在用的人不在少数，建议自行排查。我写的解密PHP后门文件不知道是否通用，就不贴出来了。

技术分享板块我没权限发，就发在这里了。如果违规请帮我转到技术分享区，感谢。

排查路径
/wp-content/themes/zibll/js.php

/wp-content/themes/zibll/zibpay/functions/admin/admin-options.php

微信扫码关注公众号 更新内容早知道