Linux中shell命令查找PHP木馬方法推薦

2024-08-27 23:55:30

字體：大中小

供稿：網(wǎng)友

　　在linux中如果我們要查找木馬可以使用幾句命令就能快速查出來了,當然下面的代碼只是根據(jù)php木馬的特點來進行查找的哦,下面PHP粉絲網(wǎng)小伙伴就為各位同學介紹一下吧.

　　一句話查找PHP木馬,代碼如下:

　　# find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval＼(gunerpress|eval＼(base64_decoolcode|spider_bc"> /tmp/php.txt
　　
　　# grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt
　　
　　# grep -r --include=*.php 'file_put_contents(.*$_POST＼[.*＼]);' . > /tmp/file_put_contents.txt
　　
　　# find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval＼(gzuncompress＼(base64_decoolcode|eval＼(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
　
常見的一句話后門,代碼如下:

　　grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt

　　grep -r --include=*.php 'file_put_contents(.*$_POST＼[.*＼]);' . > grep.txt

　　把搜索結(jié)果寫入文件,下載下來慢慢分析,其他特征木馬、后門類似,有必要的話可對全站所有文件來一次特征查找,上傳圖片肯定有也捆綁的,來次大清洗.

　　禁用不常用函數(shù),將用不到的權(quán)限又比較大的php函數(shù)在php.ini文件里禁掉,修改方法如下:

　　disable_functions = system,exec,shell_exec ………

　查找最近一天被修改的PHP文件,一般站點里的頁面文件都很少更改,當然動態(tài)臨時生成的除外,而那些一般不會變的頁面目錄里的文件如果被修改了,可大可能是被人做了手腳,代碼如下:

　　#find -mtime -1 -type f -name ＼*.php

　　修改網(wǎng)站的權(quán)限,代碼如下:

　　# find -type f -name ＼*.php -exec chmod 444 {} ＼;
　　--phpfensi.com
　　# find ./ -type d -exec chmod 555{} ＼;。
　　

（編輯：武林網(wǎng)）

上一篇：linux中查找php木馬程序例子示例

下一篇：Linux系統(tǒng)硬盤分區(qū) 格式化掛載的方法總結(jié)