Linux中shell命令尋找PHP木馬方法

一句話尋找PHP木馬

代碼如下

複製代碼

# find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval＼(gunerpress|eval＼(base64_decoolcode|spider_bc"> /tmp/php.txt   # grep -r --include=*.php  '[^a-z]eval($_POST' . > /tmp/eval.txt   # grep -r --include=*.php  'file_put_contents(.*$_POST＼[.*＼]);' . > /tmp/file_put_contents.txt   # find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval＼(gzuncompress＼(base64_decoolcode|eval＼(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq

尋找最近一天被修改的PHP檔案

一般網站裡的分頁檔都很少更改，當然動態臨時產生的除外。而那些一般不會變的頁面目錄裡的檔案如果被修改了，可大可能是被人做了手腳。

代碼如下	複製代碼
#   find -mtime -1 -type f -name ＼*.php

修改網站的許可權

代碼如下	複製代碼
# find -type f -name ＼*.php -exec chmod 444 {} ＼;   # find ./ -type d -exec chmod 555{} ＼;

常見的一句話後門：

代碼如下	複製代碼
grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt grep -r --include=*.php 'file_put_contents(.*$_POST＼[.*＼]);' . > grep.txt

把搜尋結果寫入檔案，下載下來慢慢分析，其他特徵木馬、後門類似。有必要的話可對全站所有檔案來一次特徵尋找，上傳圖片肯定有也捆綁的，來次大清洗

禁用不常用函數

將用不到的許可權又比較大的php函數在php.ini檔案裡禁掉。修改方法如下：

disable_functions = system,exec,shell_exec …………