脚本文件异常情况

1.可能伪造框架或cms系统相关的配置文件或类，一句话或上传脚本

2.可能寄生在系统配置中的一句话木马

3.文件上传目录存在php或其他脚本

4.稀奇古怪的命名以及古怪的文件内容

5.和已有文件一样命名的奇怪文件

和类相近名称

远程下载代码

一句话eval

免杀木马：

http://tool.apizl.com/dev/runCode/30340ea792a67c1d0e83e5db59e889fc.html

<?php

echo CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(100).CHR(105).CHR(97).CHR(111).CHR(115).CHR(105).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59);

被黑解决方式：

1.检查日志请求

优先筛选状态码200 POST请求，过滤后台请求。对非用户可能请求到的地址进行记录，进行代码排查。

可能会存在eval函数或$_GET+CURL+file_put_contents等等这种远程创建脚本的方法。

因为被黑后可能要保证马的存活，所以会定期监控。日志可以很好筛选出来。在解决挂马前一定要做好权限配置。

当然不是所有的马会使用POST进行执行，也有利用远程下载进行执行不利于发现。

2.全站代码文件查找

查找eval、create_function、curl、file_put_contents、chown等等进行代码排查 【重点】

3.目录权限配置

除了框架或cms临时目录和上传目录可写以外，其他目录一律不可写。而且上传目录不能设置可执行权限。也可以使用open_basedir现在php操作,目录之外的东西。

4.PHP环境配置

php.ini禁用函数肯定是需要的

disable_functions phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

有必要也可以对open_basedir进行设置

留下的马可能的规律：

大量CHR+eval

以及ini_set进行设置操作

还有文件中file_put_contents要排查

文章地址：https://www.apizl.com/archives/view-148757-1.html

PHP网站被黑下马处理以及防黑大全解读相关推荐

1. 警惕：高考将至 著名高校网站被挂马

   据瑞星"云安全"系统监测,5月21日,"西南财经大学经济学院"."北京大学国家发展研究院"."广西新闻网"等网站被黑客挂 ...

2. 黑客挂马紧盯娃娃 儿童节育儿教育网站被挂马

   据瑞星"云安全"系统监测,5月31日,"39健康育儿网"."好得网教育频道"."湖南教育资源门户网-湘教在线"等大型教育 ...

3. 网站被挂马怎么解决_网站被黑解决办法

   网站被挂马后,我们打开的页面重则整个页面都被篡改为对方的页面,轻则打开看不出变化实际上在搜索引擎我们的标题和描述都被不法分子修改了,不看源代码我们都不能够轻易的察觉出来.接下来我们来看看这一类网站被黑 ...

4. DEDECMS织梦内容管理系统安全设置（防范网站注入挂马）

   "dede"太脆弱了,早不用早解脱","DEDE安全吗,怎么总是被入侵挂马? ","天,怎么回事,又被挂马了"经常能碰到这样的抱怨 ...

5. android 获取网卡mac_防亚马逊账号关联黑科技--如何修改我们的网卡MAC到底重要不？...

   大家好,我是跨境卫士的刘同学,各位搞跨境电商的大佬们估计都经常为亚马逊账号关联这种问题而苦恼吧,今天给大家带来一片技术分享. 如何修改我们的网卡MAC还有这个东东到底重要不? 啥是网卡mac呢? 网卡 ...

6. 织梦网站被黑客生成html,dedecms网站被挂马怎么处理

   dedecms被批量挂马后如何处理?我们知道一般站长选择织梦系统是因为其支持生成静态页面以便于seo优化.但是根据西部数码west263.com开发工程师刘工介绍,一般被挂马的网站不单单是一个页面,目 ...

7. 网站被黑了被挂马篡改后，如何解决网站被挂马？

   文章目录 网站被黑了.被挂马.被篡改后,自己如何解决网站被挂马? 示例: 方法一 一. 发现被黑,网站被黑的症状 二.自己猜想了一下原因,页面和百度抓取收录显示不一致.查服务器日志方案不可行. 三.找 ...

8. 教你如何防止网站被挂马！

   如何防止网站被挂马! A.为什么好好的网站会有木马? 一般木马是来自ASP SHELL和PHP SHELL的程序段控制不严,程序上有上传功能,没有进行文件目录和文件后缀等的判断,一般这类的目录,以&q ...

9. 解决web网站被挂马清除方法

   解决web网站被挂马清除方法 参考文章: (1)解决web网站被挂马清除方法 (2)https://www.cnblogs.com/su-root/p/9976243.html 备忘一下.

最新文章

1. OpenCV3.3中主成分分析(Principal Components Analysis, PCA)接口简介及使用
2. numpy.random.rand、numpy.random.randn
3. java监听器模式使用场景_常用监听器及其应用场景
4. 串行并行程序在效率上的简单比较
5. 计算机组成原理 华南理工,华南理工2017计算机组成原理随堂练习
6. Linux getcwd()的实现【转】
7. 2019ICPC(沈阳) - Fish eating fruit(树形dp+树根转移)
8. 怎么merge分支_实战 Git 分支策略
9. android国籍组件,android组件化之路
10. Docker RocketMQ 集群
11. python自动化框架学习-pyautogui
12. 如何使用 MagSafe 外接电池？
13. 朱松纯：AI 需由“心”驱动，实现“心”与“理”的动态平衡
14. plsqldev显示语言有问题
15. bootstrapform表单重置_“bootstrap table”怎么重置表单？
16. QQ音乐API爬取全过程
17. Kmeans算法思想
18. 电脑只能上微信不能打开网页_能上微信不能打开网页
19. 前端学习日记day4——图文混排
20. 什么是Hadoop以及Hadoop集群

热门文章

1. 江苏大学计算机组成原理课设6,计算机组成原理课程设计报告江苏大学适用于软件工程...
2. Win11+Ubuntu22双系统删除Ubuntu分区后出现grub rescue无法启动Win11系统
3. 备战Noip2018模拟赛11（B组）T4 Path 好路线
4. android应用测试报告,Android 7.0应用兼容性测试报告，你get到多少姿势？
5. 超值抢票攻略新鲜出炉！
6. 高效学习法－－之SQ4R学习法和相关思维导图
7. 数值分析：数据插值方法
8. 计算机中逻辑运算图标,算术逻辑运算单元ALU及标志寄存器.ppt
9. 河南高二计算机模拟试题,2020河南银保监会考试题库：计算机类模拟试题练习（六）答案...
10. 【Python入门教程】第09篇 基本数据类型之布尔类型