php网站挂马,转：php 网站挂马检查

php后门木马常用的函数大致上可分为四种类型：

1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open

2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13

3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite

4. .htaccess: SetHandler, auto_prepend_file, auto_append_file

二

想找一个关键词是“hellow word” 在哪些文件中有，我们用grep命令

grep –color -i -r -n “hellow word” /data/www/

这样就能搜索出来文件中包含关键词的文件

–color是关键词标红

-i是不区分大小写

-r是包含子目录的搜索

-d skip忽略子目录

可以用以上命令查找网站项目里的带有挂马的文件

三

.两个查后门的实用linux命令：

find /data/web/website/ -iname *.php -mtime -35 找出/data/web/website/目录下 35分钟前新建的php

find /data/web/website/ -name “*.php” | xargs grep “eval($_POST[” 找出/data/web/website/ 里面源码包含eval($_POST[的php文件

四

例如

注入漏洞eval(base64_decode

grep –color -i -r -n “eval” /data/www/ 找出来对比以前正常的代码，看是否正常。然后用stat查看这个木马文件的修改时间，最后去寻找WEB日志，找出木马从哪里进来的

五：

实用查找PHP木马命令：

查找PHP木马

# find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt # grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt # grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt # find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq

#grep-r--include=*.php'[^a-z]eval($_POST'.>/tmp/eval.txt

#grep-r--include=*.php'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt

# find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq

查找最近一天被修改的PHP文件

# find -mtime -1 -type f -name \*.php

修改网站的权限

# find -type f -name \*.php -exec chmod 444 {} \; # find ./ -type d -exec chmod 555{} \;

# find -type f -name \*.php -exec chmod 444 {} \;

# find ./ -type d -exec chmod 555{} \;

假设最后更新是10天前我们可以查找10天内生成的可以php文件:

find /var/www/ -name “*.php” -mtime -10

也可以通过关键字的形式查找常见的木马常用代码函数 eval,shell_exec,passthru,popen,system

#find /var/www/ -name “*.php” |xargs grep “eval” |more

#find /var/www/ -name “*.php” |xargs grep “shell_exec” |more

#find /var/www/ -name “*.php” |xargs grep “passthru” |more

还有查看access.log 当然前提是你网站的所有php文件不是很多的情况下

一句话查找PHP木马

# find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt # grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt # grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt # find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq

# grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt

# grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt

# find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq

查找最近一天被修改的PHP文件

# find -mtime -1 -type f -name *.php

六

以下其实是多余的操作了其实，但是还是有值得看的地方

检查代码。

肯定不是一个文件一个文件的检查，Linxu有强悍的命令

grep ‘eval’ * -R 全盘搜索当前目录所有文件(包含子目录)中带有eval的文件，这条可以快速查找到被挂马的文件。

关于eval，请自行google一句话php代码。

2，查看日志。

不到这个时候不知道日志的可贵啊。

还是以grep命令为主。

思路：负责的站点是Linux，只开了2个端口，一个22和80，外部的执行命令是由从80端口进来，Selinux报httpd访问/boot文件，确认被挂马。而所有的命令执行必须POST提交给执行的文件。所以，查找日志中所有的POST记录。

cat access_log_20120823.log | grep ‘POST’ | grep -v ‘反向查找’ | less，通过grep -v排除正常post，egrep也支持正则，但是太复杂了，看懂不知道怎么运用。

(这里不建议用cat，用tail可以追加一个文件来看)

这可以防患于未然，防止不知道哪天又被人黑进来了。每天看一眼日志。

3，对于网页目录，只给apache用户rx权限，不要给w权限，目录设置要加上rx，不要给w，个别文件除外。所以，配合2使用，Linux下可以快速过滤刷选出来不规则的POST请求。

综合1，2其实就可以快速查找被黑的页面，被修改的文件替换干净的代码。

php网站挂马,转：php 网站挂马检查相关推荐

网站频繁被挂马篡改防止网站被攻击的解决妙招
在网站运营以及优化这方面总是会有一些无所事事的人,冒着风险做各种各样的违规行为的工作,有的时候忽然发现自己的公司网站,就被他人直接挂了木马,那些超链接鼠标点击进来,全部都是灰色内容的信息,不妥善处理, ...
挂站服务器什么意思?挂站服务器可以挂多少网站?
挂站服务器是什么?怎么选择挂站服务器?网站通常需要租用相应的服务器,来提供互联网运行基础,同时也是用户访问的基础,下面我们就简单的聊聊什么是挂站服务器以及该怎么选择挂站服务器配置. 挂站服务器是什么? ...
因一个 Bug，谷歌、GitHub、亚马逊等网站全球大范围宕机！
整理 | 郑丽媛出品 | CSDN(ID:CSDNnews) 打开一个网站,无法访问:换一个网站,又无法访问. 遇到这种情况的你,会认为是什么问题:断网了?可有些社交软件能正常使用:浏览器出 Bug ...
如何利用铁威马NAS搭建网站服务器
Web Server可以将TNAS 架设成一个网站服务器,在网站服务器中设定多个虚拟主机.如需启用网站服务器功能,需要开启网站服务器. 如何利用铁威马NAS搭建网站服务器 1.TOS应用中心Web S ...
神马搜索移动网站优化指南
1. 本文目的神马搜索是真正的移动搜索,在发布至今短短几月内在国内移动搜索引擎市场渗透率已超过20%,位居市场第二位.本文提供神马搜索在网站收录.优化上的官方说法,帮助站长合理.持续的优化网站,共同 ...
网站收录链接分析之网站排名查询
收录链接抓取分析工具是一款可以查询关键词排名,根据关键词提取收录链接,查询同行网站收录链接以及同行网站关键词排名数据. 一. 分析同行比如我是一名卖拖拉机的从业者,我搜索拖拉机,在点击筛选同行的域名 ...
**官网被黑、网站被黑后和网站被入侵更好的处理解决办法
2018.6.19当天接到一位新客户反映自己的网站被黑了,网站首页也被黑客篡改了,网站首页被加了一些与网站不相符的内容与加密的代码,导致百度网址安全中心提醒您:该页面可能存在木马病毒!网站在百度的收录 ...
网站服务器安全检查结果表,网站安全检测报告预测（2020年精华篇）
2020年即将到来,2019年的网站安全工作已经接近尾声,我们SINE网站安全监测平台对上万客户网站的安全防护情况做了全面的安全分析与统计,整理出2020年的网站安全监测预测报告,针对发现的网站漏洞以 ...
常见的网站漏洞以及会对网站带来的危害
一.漏洞类型说明 1. 高危漏洞高危漏洞包括:SQL注入漏洞.XSS跨站脚本漏洞.页面存在源代码泄露.网站存在备份文件.网站存在包含SVN信息的文件.网站存在Resin任意文件读取漏洞. SQL注入 ...
一键清理网站木马文件，从此网站拥有专属保镖 ——阿里云虚拟主机推出木马查杀功能
近日,阿里云推出了云虚拟主机网站木马查杀的新功能,十分适合对网站安全不了解.不熟悉的用户,或网站出现挂马情况不清楚如何处理的用户. 阿里云表示,此次网站木马查杀功能是阿里云安骑士专为虚拟主机推出的安全 ...

php网站挂马,转：php 网站挂马检查

php网站挂马,转：php 网站挂马检查相关推荐

最新文章

热门文章

php网站挂马,转 ：php 网站挂马检查

php网站挂马,转 ：php 网站挂马检查相关推荐

最新文章

热门文章

php网站挂马,转：php 网站挂马检查

php网站挂马,转：php 网站挂马检查相关推荐