www.2cto.com：比较早的一篇文章了，供大家参考

中国的开源软件良多，但同时也给咱们带来了许多保险问题，网站挂马成发站长最头痛的事件，在这里我写一个检测网站木马php的小程序让大家参考。
                1、中国的开源软件很多，但同时也给我们带来了很多平安问题，网站挂马成发站长最头痛的事情，在这里我写一个检测网站木马php的小程序让大家参考
软件原理：个别的木马都是加密的，所谓的加密反而让我们检测带来了便利，php木马的最显明特点是使用了eval 与base64_decode 这函数，这样就很好去检测了，当然有些cms的畸形文件也可能呈现这货色，差别是cms的文件打开是正常一行一行的，而木马通常是：
eval(base64_decode(..............));
?
这样的代码，而且基础都是如斯，下面是检测程序：
function parallfiles($d)
{
$dh = dir($d);
while($filename = $dh-read() )
{
if($filename=='.' || $filename=='..') continue;
$tfile = $d.'/'.$filename;
if(is_dir($tfile))
{
//echo 检讨到：$tfile
;
parallfiles($tfile);
}
else
{
if(!ereg(\.php, $tfile)) continue;
$bd = file_get_contents($tfile);
if(eregi(eval\(, $bd))
{
echo $tfile
\r\n;
}
}
}
}
parallfiles(dirname(__file__));
?
使用这个检测程序会把所有带eval的文件作为可疑文件，翻开来看一下，如果代码像前者那样的，确定是木马了。www.2cto.com
对有应用服务器的用户，记住设置网站权限的一个准则：寄存html、附件的文件不给予履行脚本权限，执行脚本的文件夹不给予写入的权限。
2、mysql提权漏洞的处置
mysql提权漏洞在windows服务器简直是致命的，如果你把web木马都清算后，发现heike还能挂马，很可能是这个问题所致的，这要作下面多少方面处理：
(1) 网站的用户千万不要用root用户，假如树立一个没权限的用户，而后指定它有操作某数据库的权限；
(2) 检查网站或windows文件，看是否有udf.dll 或xudf.dll (x通常是数字1、2、3等)，如果有，阐明你的服务器已经中招了，这种木马是致命的，肃清方式是先用net stop mysql结束mysql，然后删除这些dll文件，然后用net start mysql 从新启动mysql。