作者:纯情利宾立2502857907 | 来源:互联网 | 2017-11-04 16:16
最近网站频繁被挂马,今天做了一些改进,基本上把这个问题解决了,因为discuzx2存在漏洞,被上传了websehll,每次被删除过段时间又出来了,最终查到所有的木马从以下几个方面查找并加强1.根据特征码查找:php木马一般含有?phpeval($_POST[cmd]);?或者?ph
最近网站频繁被挂马,今天做了一些改进,基本上把这个问题解决了,因为discuz x2存在漏洞,被上传了websehll,每次被删除过段时间又出来了,最终查到所有的木马
从以下几个方面查找并加强
1.根据特征码查找:
php木马一般含有eval($_POST[cmd]);?>或者
- find /wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /wwwroot/scan.txt
结果就查出很多明显的webshell,并且发现都藏在attachment等目录下
2.利用网上的一个php代码,搜索最近被修改的文件
scandir.php
内容如下:
- set_time_limit(0);
-
-
-
-
-
-
-
-
-
-
-
-
-
- $pass="12345";
- $jkdir=".";
- $logfilename="./m.log";
- $exclude=array(\'data\',\'images\');
- $danger=\'eval|cmd|passthru|gzuncompress\';
- $suffix=\'php|inc\';
-
-
- $filename=$_GET[\'filename\'];
- $check=$_GET[\'check\'];
- $jumpoff=false;
- $url = $_SERVER[\'PHP_SELF\'];
- $thisfile = end(explode(\'/\',$url));
- $jump="{$thisfile}|".implode(\'|\',$exclude);
- $jkdir_num=$file_num=$danger_num=0;
- define(\'M_PATH\',$jkdir);
- define(\'M_LOG\',$logfilename);
- if ($check==\'check\')
- {
- $safearr = explode("|",$jump);
- $start_time=microtime(true);
- safe_check($jkdir);
- $end_time=microtime(true);
- $total=$end_time-$start_time;
- $file_num=$file_num-$jkdir_num;
- $message= " 文件数:".$file_num;
- $message.= " 文件夹数:".$jkdir_num;
- $message.= " 可疑文件数:".$danger_num;
- $message.= " 执行时间:".$total;
- echo $message;
- }else{
- if ($_GET[\'m\']=="del") Delete();
-
- if(isset($_GET[\'readfile\'])){
-
- if(emptyempty($_POST[\'passchack\'])){
- echo"rm id="form1" name="form1" method="post">"
- . "
- . " "
- . " "
- . " "
- . ""
- ."";
- exit;
- }elseif(isset($_POST[\'passchack\'])&&$_POST[\'passchack\']==$pass){
- $code=file_get_contents($_GET[