Linux中shell命令查找PHP木馬方法介紹

2024-08-27 23:55:37

字體：大中小

來源：轉載

供稿：網友

　　在linux中如果我們要查找木馬可以使用幾句命令就能快速查出來了,當然下面的代碼只是根據php木馬的特點來進行查找的哦,下面PHP粉絲網小伙伴就為各位同學介紹一下吧.

　　一句話查找PHP木馬,代碼如下:

　　# find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval＼(gunerpress|eval＼(base64_decoolcode|spider_bc"> /tmp/php.txt
　　
　　# grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt
　　
　　# grep -r --include=*.php 'file_put_contents(.*$_POST＼[.*＼]);' . > /tmp/file_put_contents.txt
　　
　　# find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval＼(gzuncompress＼(base64_decoolcode|eval＼(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
　　查找最近一天被修改的PHP文件,一般站點里的頁面文件都很少更改,當然動態臨時生成的除外,而那些一般不會變的頁面目錄里的文件如果被修改了,可大可能是被人做了手腳,代碼如下:

　　#find -mtime -1 -type f -name ＼*.php

　　修改網站的權限,代碼如下:

　　# find -type f -name ＼*.php -exec chmod 444 {} ＼;
　　--phpfensi.com
　　# find ./ -type d -exec chmod 555{} ＼;
　　常見的一句話后門,代碼如下:

　　grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt

　　grep -r --include=*.php 'file_put_contents(.*$_POST＼[.*＼]);' . > grep.txt

　　把搜索結果寫入文件,下載下來慢慢分析,其他特征木馬、后門類似,有必要的話可對全站所有文件來一次特征查找,上傳圖片肯定有也捆綁的,來次大清洗.

　　禁用不常用函數,將用不到的權限又比較大的php函數在php.ini文件里禁掉,修改方法如下:

　　disable_functions = system,exec,shell_exec ………

（編輯：武林網）

上一篇：linux中查找php木馬程序示例

下一篇：Linux系統硬盤分區格式化掛載的方法推薦