网站php挂马从哪里挂的,寻找PHP(网站)挂马,后门
一
php后门木马常用的函数大致上可分为四种类型:
1.执行系统命令: system, passthru, shell_exec, exec, popen, proc_open2.代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot133.文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
4. .htaccess: SetHandler, auto_prepend_file, auto_append_file
二
想找一个 关键词是“hellow word” 在哪些文件中有,我们用grep命令
grep --color -i -r -n "hellow word" /data/www/
这样就能搜索出来 文件中包含关键词的文件
--color是关键词标红
-i是不区分大小写
-r是包含子目录的搜索
-d skip忽略子目录
可以用以上命令查找网站项目里的带有挂马的文件
三
.两个查后门的实用linux命令:
find /data/web/website/ -iname *.php -mtime -35 找出/data/web/website/目录下 35分钟前新建的php
find /data/web/website/ -name “*.php” | xargs grep “eval($_POST[” 找出/data/web/website/ 里面源码包含eval($_POST[的php文件 (注意:POST后面可能需要转义符“\”,否则有可能不能执行)
四.
例如
注入漏洞eval(base64_decode
grep --color -i -r -n "eval" /data/www/ 找出来对比以前正常的代码,看是否正常。然后用stat查看这个木马文件的修改时间,最后去寻找WEB日志,找出木马从哪里进来的
eg: grep --color -i -r -n 'eval($_POST' cncar/
五:
实用查找PHP木马命令:
查找PHP木马# find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
# grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt
# grep -r --include=*.php 'file_put_contents(.*$_POST
.∗
);' . > /tmp/file_put_contents.txt
# find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
查找最近一天被修改的PHP文件# find -mtime -1 -type f -name \*.php
修改网站的权限# find -type f -name \*.php -exec chmod 444 {} \;
# find ./ -type d -exec chmod 555{} \;
假设最后更新是10天前我们可以查找10天内生成的可以php文件:
find /var/www/ -name “*.php” -mtime -10
也可以通过关键字的形式查找 常见的木马常用代码函数 eval,shell_exec,passthru,popen,system
find /var/www/ -name “*.php” |xargs grep “eval” |more
find /var/www/ -name “*.php” |xargs grep “shell_exec” |more
find /var/www/ -name “*.php” |xargs grep “passthru” |more
还有查看access.log 当然前提是你网站的所有php文件不是很多的情况下
一句话查找PHP木马# find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt# grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt# grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt# find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq查找最近一天被修改的PHP文件# find -mtime -1 -type f -name *.php
六
以下其实是多余的操作了其实,但是还是有值得看的地方
,检查代码。
肯定不是一个文件一个文件的检查,Linxu有强悍的命令
grep ‘eval’ * -R 全盘搜索当前目录所有文件(包含子目录)中带有eval的文件,这条可以快速查找到被挂马的文件。
关于eval,请自行google一句话php代码。
2,查看日志。
不到这个时候不知道日志的可贵啊。
还是以grep命令为主。
思路:负责的站点是Linux,只开了2个端口,一个22和80,外部的执行命令是由从80端口进来,Selinux报httpd访问/boot文件,确认被挂马。而所有的命令执行必须POST提交给执行的文件。所以,查找日志中所有的POST记录。
cat access_log_20120823.log | grep ‘POST’ | grep -v ‘反向查找’ | less,通过grep -v排除正常post,egrep也支持正则,但是太复杂了,看懂不知道怎么运用。
(这里不建议用cat,用tail可以追加一个文件来看)
这可以防患于未然,防止不知道哪天又被人黑进来了。每天看一眼日志。
3,对于网页目录,只给apache用户rx权限,不要给w权限,目录设置要加上rx,不要给w,个别文件除外。所以,配合2使用,Linux下可以快速过滤刷选出来不规则的POST请求。
综合1,2其实就可以快速查找被黑的页面,被修改的文件替换干净的代码。
Linux本身相对Win来讲安全点,因为好多人不会命令,这就是优点啊!但网站现在开源的这么多,所以漏洞也相对较多,一不小心网站被上传木马也是常有的事情。收集和整理了一下利用find命令来查找一下是否网站被种木马了,无非是根据木马的特征代码来配对。
find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decode|spider_bc"> /tmp/php.txt
grep -r –include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt
grep -r –include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt
find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decode|eval\(base64_decode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq查找最近一天被修改的PHP文件
find -mtime -1 -type f -name \*.php修改网站php文件权限,只读
find -type f -name \*.php -exec chmod 444 {} \;修改网站目录权限
find ./ -type d -exec chmod 555{} \;
文章转载于:http://blog.csdn.net/miltonzhong/article/details/9717179
网站php挂马从哪里挂的,寻找PHP(网站)挂马,后门相关推荐
- 很多网站被挂马确找不到代码,arp挂马原理剖析
不管是访问服务器上的任何网页,就连404的页面也会在<>后加入: <IFRAME SRC= width =1 height=1 frameborder=0></IFRA ...
- [转帖]web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全。...
web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全. https://www.cnblogs.com/1996V/p/7458377.html 感谢原作者写的内容 安全 ...
- 9号服务器奔溃第二天网站首页被k,网站首页被k多长时间可以恢复?网站首页被k有哪些原因呢?...
对于站长来说,最怕的就是网站内容没有收录,辛苦做起来的排名下降.任何一个网站想要有个不错的点击量,就需要不断进行优化改造,我们常见的就是SEO优化,主要有关键词优化.黑帽白帽.外链等措施.网站排名在搜 ...
- web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全。...
本篇以我自己的网站为例来通俗易懂的讲述网站的常见漏洞,如何防止网站被入侵,如何让网站更安全. 要想足够安全,首先得知道其中的道理. 本文例子通俗易懂,主要讲述了 各种漏洞 的原理及防护,相比网上其它的 ...
- 网站安全狗Nginx版V2.0发布 全方位防护网站安全
2019独角兽企业重金招聘Python工程师标准>>> 网站安全狗是安全狗旗下集网站内容安全防护.网站资源保护及网站流量保护功能为一体的安全防护软件,全面保护服务器上的网站安全,功能 ...
- 神马搜索广告的投放形式介绍!神马广告推广费用介绍
神马搜索广告投放形式,神马搜索贴心管家搜索推广,可以通过设定与您的主营产品相关的关键词,客户可以通过关键词搜索来找到您公司的网站,从而访问浏览您的公司信息,可以与您在线沟通,最终促成订单,主要的形式有 ...
- 在亚马逊能接到服装订单吗?亚马逊美国站突然没订单怎么办?
据几位分析师估计,今年亚马逊将超越梅西百货,成为美国最大的服装零售商.而实体零售商前景严峻,诸多商铺封闭.裁人和破产.上一年,梅西百货就宣布它将封闭100家店肆. 亚马逊正在寻找持续扩张的方法.它正探 ...
- 宝塔如何备份网站_学习织梦网站必需会的一件事:织梦网站数据备份
任务:宝塔面板织梦网站备份 织梦CMS程序运行环境:PHP+MySQL 所以无论是备份还是还原,都涉及2个部分,一个是web文件的备份,一个是数据库的备份. 做好数据备份是站长管理员和维护人员的基本操 ...
- 什么是网络推广浅析网站在优化时该如何让蜘蛛自觉爬行网站?
什么是网络推广在网站优化时能够让蜘蛛更自觉的爬行网站,对网站的收录及排名提升都有重要的作用,同时,想要网站获得更多的流量和权重,想方设法的吸引蜘蛛有效的爬行网站也很重要,那么该怎么做呢?下面什么是网络 ...
- 网站推广专员浅析不做大幅修改如何调整网站推广内容?
通常在企业网站上线后正式开展网站推广生涯,在此后长达数年的运营优化过程中难免会有想要修改或调整网站内容的冲动,但由于网站经过大改或大幅度调整过后都会被搜索引擎注意到影响网站当前的排名和权重数值,为了避 ...
最新文章
- iOS架构设计-URL缓存(下)
- 17岁少年买不到回国机票就攻击航司系统,获刑四年!自称因疫情严重和女朋友怀孕压力大...
- SQL Select语句完整的执行顺序:
- java提高篇(十二)-----代码块
- 万字干货:教新手从0到1搭建完整的增长数据体系(30图)
- XShell常用快捷键
- select,poll,epoll用法
- ssis mysql to server_SSIS:将表从MySQL复制到SQL Server 2008
- 串口通信与编程:串口基础知识
- linq4j java8_Linq4j简明介绍
- [Chrome插件开发]监听网页请求和响应
- JavaScript基础复习下(51st)
- Win7 远程桌面限制IP
- 队列:实用服务和数据结构
- 电脑联网打不开网页只能用qq和微信
- 千兆路由器怎么设置网速最快_tp无线路由器怎么设置网速最快
- 分享一个C语言矿井逃生迷宫小游戏【附源码】
- at命令、crontab命令
- python末尾加空格_Python3基础 print(,end=) 输出内容的末尾加入空格
- 端午节假期----心情记录
热门文章
- 百万前端之js通过链接生成二维码可以保存下载复制
- New UWP Community Toolkit - DeveloperTools
- maven 导入jar包失败编译代码失败解决方案
- java 排名算法_排行榜的算法
- 万字长文测评:3款口碑炸裂的BI数据分析工具,最好用的其实是……
- linux listener.ora 位置,Oracel数据库 listener.ora和tnsnames.ora配置
- Pr:创建和使用收录预设
- 程序人生-hello`s P2P
- “缺钱”的女人,掩饰不住以下三个特征,别不信
- 关于ModbusTCP通讯汇川PLC