怎么排查网站被攻击的原因？

是公司的 cms 服务器（是基于我写了几个插件以及简单改了下主题的 drupal8 系统），但目前可以正常访问，然后阿里云邮件发我这个

尊敬的用户： 经检测您的云服务器（***）存在恶意发包行为，为避免影响您服务器的正常使用，请您务必重视并尽快处理，需要您尽快排查您的安全隐患。目前系统不会处罚您的机器，但请您务必重视。

请先查看是否服务被黑客利用进行攻击，对服务进行加固处理方法见以下链接： https://help.aliyun.com/knowledge_detail/13072193.html?spm=5176.789006066.2.17.koPuT1 

被黑客控制有以下 2 种解决方案可供您选择用于解决问题：
方案一：您有技术人员进行解决
请参考以下方法自查：
1、未经授权不得使用扫描器，等其它黑客工具进行非法扫描，否则请提工单进行沟通说明并提供授权测试证明。
2、病毒木马排查。
2.1、使用 netstat 查看网络连接，分析是否有可疑发送行为，如有则停止。 (linux 常见木马，清理命令 chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;）
2.2、使用杀毒软件进行病毒查杀。
3、服务器漏洞排查并修复
3.1、查看服务器账号是否有异常，如有则停止删除掉。
3.2、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10 位及以上。
3.3、查看 Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic 后台密码，提高密码强度（字每+数字+特殊符号）大小写，10 位及以上，不需要使用后台建议停止 8080 等管理端口。
3.4、查看 WEB 应用是否有漏洞，如 struts, ElasticSearch 等，如有则请升级。
3.5、查看 MySQL、SQLServer、FTP、WEB 管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10 位及以上。
3.6、查看 Redis 无密码可远程写入文件漏洞，检查 /root/.ssh/下黑客创建的 SSH 登录密钥文件，删除掉，修改 Redis 为有密码访问并使用强密码，不需要公网访问最好 bind 127.0.0.1 本地访问。
3.7、如果有安装第三方软件，请按官网指引进行修复。
4、如果问题仍未解决
经过以上处理还不能解决问题，强烈建议您将系统盘和数据盘的数据完全下载备份到本地保存后，重置全盘（登陆 www.aliyun.com, 进入我的阿里云-》管理控制台-》云服务器 ECS 控制台-》点击进行您需要进行初始化的实例，备份完服务器数据后关闭实例，点击“重置磁盘”，按您的实际情况选择系统盘和数据盘重置即可）后，重新部署程序应用并对数据进行杀毒后上传，并重新进行前述的 3 步处理。

方案二：直接备份数据重置服务器并进行安全部署
请您直接参考链接进行处理 https://help.aliyun.com/knowledge_detail/7613565.html?spm=5176.789006066.2.9.HfuUsB
   阿里云计算有限公司此为系统邮件请勿回复

我应该怎么解决？

照理来说我是通过主流的 php docker 镜像部署的，drupal8 也是个相对冷门但成熟的 cms 系统啊，不太可能被代码漏洞攻击