本文实例总结了php网站被挂木马后的修正办法。共享给咱们供咱们参阅。具体办法如下:
在linux中咱们能够运用指令来搜寻木马文件,到代码装置目录履行下面指令
仿制代码 代码如下:
find ./ -in...
本文实例总结了php网站被挂木马后的修正办法。共享给咱们供咱们参阅。具体办法如下:
在linux中咱们能够运用指令来搜寻木马文件,到代码装置目录履行下面指令
仿制代码 代码如下:
find ./ -iname "*.php" | xargs grep -H -n "eval(base64_decode"
搜出来挨近100条成果,这个成果列表很重要,木马都在里边,要一个一个文件翻开验证是否是木马,假如是,立刻删除去
最终找到10个木马文件,存放在各种目录,都是php webshell,功用很完全,用base64编码
假如你在windows中查找目录直接运用windows文件搜索就能够了,能够搜索eval或最近修正文件,然后假如是dedecms咱们要检查最新dedecms缝隙呀然后修补。
下面给个php木马查找东西,直接放到你站点根目录
仿制代码 代码如下:
<?php
/**************PHP Web木马扫描器************************/
/* [+] 作者: alibaba */
/* [+] MSN: weeming21@hotmail.com */
/* [+] 首发: t00ls.net , 转载请注明t00ls */
/* [+] 版别: v1.0 */
/* [+] 功用: web版php木马扫描东西*/
/* [+] 留意: 扫描出来的文件并不一定便是后门, */
/* 请自行判别、审阅、比照原文件。*/
/* 假如你不确定扫出来的文件是否为后门,*/
/* 欢迎你把该文件发给我进行剖析。*/
/*******************************************************/
ob_start();
set_time_limit(0);
$username = "t00ls"; //设置用户名
$password = "t00ls"; //设置暗码
$md5 = md5(md5($username).md5($password));
$version = "PHP Web木马扫描器v1.0";
PHP Web 木马扫描器
$realpath = realpath('./');
$selfpath = $_SERVER['PHP_SELF'];
$selfpath = substr($selfpath, 0, strrpos($selfpath,'/'));
define('REALPATH', str_replace('//','/',str_replace('','/',substr($realpath, 0, strlen($realpath) - strlen($selfpath)))));
define('MYFILE', basename(__FILE__));
define('MYPATH', str_replace('', '/', dirname(__FILE__)).'/');
define('MYFULLPATH', str_replace('', '/', (__FILE__)));
define('HOST', "http://".$_SERVER['HTTP_HOST']);
?>
<html>
<head>
<title><?php echo $version?></title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
<style>
body{margin:0px;}
body,td{font: 12px Arial,Tahoma;line-height: 16px;}
a {color: #00f;text-decoration:underline;}
a:hover{color: #f00;text-decoration:none;}
.alt1 td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#f1f1f1;padding:5px 10px 5px 5px;}
.alt2 td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#f9f9f9;padding:5px 10px 5px 5px;}
.focus td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#ffffaa;padding:5px 10px 5px 5px;}
.head td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#e9e9e9;padding:5px 10px 5px 5px;font-weight:bold;}
.head td span{font-weight:normal;}
</style>
</head>
<body>
<?php
if(!(isset($_COOKIE['t00ls']) && $_COOKIE['t00ls'] == $md5) && !(isset($_POST['username']) && isset($_POST['password']) && (md5(md5($_POST['username']).md5($_POST['password']))==$md5)))
{
echo '<form id="frmlogin" name="frmlogin" method="post" action="">用户名: <input type="text" name="username" id="username" /> 暗码: <input type="password" name="password" id="password" /> <input type="submit" name="btnLogin" id="btnLogin" value="登陆" /></form>';
}
elseif(isset($_POST['username']) && isset($_POST['password']) && (md5(md5($_POST['username']).md5($_POST['password']))==$md5))
{
setcookie("t00ls", $md5, time()+60*60*24*365,"/");
echo "登陆成功!";
header( 'refresh: 1; url='.MYFILE.'?action=scan' );
exit();
}
else
{
setcookie("t00ls", $md5, time()+60*60*24*365,"/");
$setting = getSetting();
$action = isset($_GET['action'])?$_GET['action']:"";
if($action=="logout")
{
setcookie ("t00ls", "", time() - 3600);
Header("Location: ".MYFILE);
exit();
}
if($action=="download" && isset($_GET['file']) && trim($_GET['file'])!="")
{
$file = $_GET['file'];
ob_clean();
if (@file_exists($file)) {
header("Content-type: application/octet-stream");
header("Content-Disposition: filename="".basename($file).""");
[1] [2] [3] 黑客接单网