Linux和Windows主机的tmp目录都是临时文件存放的目录，比如程序运行产生的临时文件和用户上传的临时文件都会在这个目录生成。有时候这个目录会产生病毒或木马程序，大部分都php病毒木马，这种情况一般是黑客利用网站程序漏洞上传了php病毒木马，或者是因为php.ini里面的upload_tmp_dir配置，这个配置指向了/tmp目录，所有用户上传的文件都会先存放在这个目录里，然后在调用move_uploaded_file函数的时候会把对应文件删掉，所以会在这个目录里出现病毒木马。

这种/tmp目录的病毒木马一般都不太危险，除非病毒木马文件在www的主目录，也就是网站源码的目录发现。这种php病毒木马感染进程：

进程所属用户：www进程所属用户组：www进程文件路径：/www/server/php/74/sbin/php-fpm进程命令行：php-fpm: pool www

病毒名称：

病毒名：Win32.Script.Agent.Ednp Php.Trojan.Php.Pcsi

文件名：类似phpXc33AQ，大部分都是php开头，后面一串随机字母数字。

还有一些比较危险的木马，带webshell。

此文件为带管理界面的webshell，主要功能包括文件上传、执行命令、反弹shell、查看服务器信息、查看当前用户名等多种危险功能。此木马用于攻击者连接服务器进行恶意操作。

解决方法：

1.根据病毒木马后门文件路径进行查看确认，并删除后门文件；

2.检查网站是否存在上传漏洞、sql注入漏洞等危险漏洞，并严格校验输入参数的格式等相关内容，避免非法参数的输入；

3.加强网站目录的权限管理，对目录的读、写、执行等权限进行合理安全部署，限制上传目录的脚本执行权限等。

4.检查恶意进程及非法端口，删除可疑的启动项和定时任务；

5.隔离或者删除相关的木马文件；