![图片[1]-普及:关于PHP恶意入侵篡写文件案例2-服务器安全-网站安全-木鱼源码网](http://www.ck502.cn/wp-content/uploads/2024/11/f38d50a45920241011200956.png)
主要就是讲一下怎么分辨这个恶意后门文件(PS:恶意的PHP脚本,用于生成和执行隐藏的Shell代码。这种类型的脚本通常用于后门攻击,允许攻击者远程控制服务器。),这些文件最大的特点呢就是见不得人,毕竟搞这玩意的本来就是绝种牲口,那也不多说,直接进入正题吧(只是讲解一下,不要一概而论,否则网站出现问题自行解决)
文章正文
![图片[2]-普及:关于PHP恶意入侵篡写文件案例2-服务器安全-网站安全-木鱼源码网](http://www.ck502.cn/wp-content/uploads/2024/11/525a9c9e6f20241108125104-1024x554-1.png)
恶意后门文件特点
1、一般是加密,见不得人的,而且长;
2、有“个性”标志;
3、有这个秘钥等等。
那么该怎么检查呢?
先说个比较难的,这两个非专业人士可以略过不看哈。
使用命令行工具搜索包含特定字符串的文件,例如 eval、base64_decode、gzuncompress 等。
Linux系统指令
# 搜索包含 eval 的 PHP 文件
grep -r “eval(” /var/www/html/
# 搜索包含 base64_decode 的 PHP 文件
grep -r “base64_decode(” /var/www/html/
# 搜索包含 gzuncompress 的 PHP 文件
grep -r “gzuncompress(” /var/www/html/
Windows系统指令
rem 搜索包含 eval 的 PHP 文件
findstr /S /M /C:”eval(” *.php
rem 搜索包含 base64_decode 的 PHP 文件
findstr /S /M /C:”base64_decode(” *.php
rem 搜索包含 gzuncompress 的 PHP 文件
findstr /S /M /C:”gzuncompress(” *.php
至于还在学习互联网的小伙伴有什么好的查法呢,大家不要担心,还有一个方法也很简单,我这里就以宝塔面板演示,你只需要进入目录:/www/wwwroot 然后点击内容查找,输入关键词进行查找就行了。
(关键词:eval、base64_decode、gzuncompress 、@ini_set )关键词要一个个搜,不要一次全填进去。
![图片[3]-普及:关于PHP恶意入侵篡写文件案例2-服务器安全-网站安全-木鱼源码网](http://www.ck502.cn/wp-content/uploads/2024/11/7abe642dba20241108130145.png)
搜索出来的匹配的内容其实会比较杂,有些也不是这个恶意代码的,但是有一种就绝对是,就是它放在css、js、fonts、img、image这些前端图啊,字体的地方的就一定是恶意后门文件,直接删除即可。当然你如果怕删错了,那么你则可以改变它的后缀或者名称,总结一句话就是,但凡某个文件放的位置并非它该出现的地方,这样的大概率是有问题的,好了,这篇文章就到这儿了
.png)
暂无评论内容