Всем привет, мы снова встретились, я ваш друг Цюаньчжаньцзюнь.

Функции, обычно используемые PHP-троянами-бэкдорами, можно условно разделить на четыре типа:

1. Выполните системные команды: system, passthru, Shell_exec, exec, popen, proc_open.

2. Выполнение и шифрование кода: eval, Assert, call_user_func, base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13.

3. Включение и генерация файлов: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite.

4. .htaccess: SetHandler, auto_prepend_file, auto_append_file

два

Если мы хотим найти в нем файл с ключевым словом «hello world», мы используем команду grep.

grep –color -i -r -n “hellow word” /data/www/

Таким образом, вы можете искать файлы, содержащие ключевые слова в файле.

–color — ключевое слово, выделенное красным

-i не чувствителен к регистру

-r — поиск, включающий подкаталоги

-d пропускать игнорировать подкаталоги

Вы можете использовать приведенную выше команду для поиска файлов с конными лошадьми в проекте веб-сайта.

три

.Две практические команды Linux для проверки бэкдоров:

find /data/web/website/ -iname *.php -mtime -35 Найти php, созданный 35 минут назад, в каталоге /data/web/website/.

find /data/web/website/ -name “*.php” | xargs grep “eval(_POST[” Найдите /data/web/website/. Исходный код внутри содержит eval(_POST[изphpдокумент

Четыре

Например

Оценка уязвимости внедрения (base64_decode

grep –color -i -r -n «eval» /data/www/ Найдите и сравните предыдущий нормальный код, чтобы убедиться, что он нормальный. Затем используйте stat, чтобы проверить время модификации файла трояна, и, наконец, найдите WEB-журнал, чтобы узнать, откуда появился троян.

пять:

Практическая команда для поиска PHP-троянов:

Найдите PHP-трояны

# find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc”> /tmp/php.txt # grep -r –include=*.php ‘[^a-z]eval(

1

2

3

4

# find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc”>/tmp/php.txt

#grep-r–include=*.php'[^a-z]eval($_POST’.>/tmp/eval.txt

#grep-r–include=*.php’file_put_contents(.*$_POST\[.*\]);’ . > /tmp/file_put_contents.txt

# find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq

Найдите файлы PHP, которые были изменены за последний день.

# find -mtime -1 -type f -name \*.php

1

# find -mtime -1 -type f -name \*.php

Изменить разрешения веб-сайта

# find -type f -name \*.php -exec chmod 444 {} \; # find ./ -type d -exec chmod 555{} \;

1

2

# find -type f -name \*.php -exec chmod 444 {} \;

# find ./ -type d -exec chmod 555{} \;

Предполагая, что последнее обновление было 10 дней назад, мы можем найти файлы php, созданные в течение 10 дней:

find /var/www/ -name “*.php” -mtime -10

Вы также можете искать общие функции троянского кода в виде ключевых слов eval, Shell_exec, passthru, popen, system.

#find /var/www/ -name “*.php” |xargs grep “eval” |more #find /var/www/ -name “*.php” |xargs grep “shell_exec” |more #find /var/www/ -name “*.php” |xargs grep “passthru” |more

1

2

3

#find /var/www/ -name “*.php” |xargs grep “eval” |more

#find /var/www/ -name “*.php” |xargs grep “shell_exec” |more

#find /var/www/ -name “*.php” |xargs grep “passthru” |more

Также проверьте файл access.log. Конечно, предполагается, что на вашем сайте не так много файлов php.

Одно предложение Найти PHP-трояны

# find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt # grep -r –include=*.php ’[^a-z]eval(

1

2

3

4

# find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt

# grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt

# grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt

# find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq

Найдите файлы PHP, которые были изменены за последний день.

# find -mtime -1 -type f -name *.php

шесть

Дальнейшее на самом деле излишне, но кое-что стоит посмотреть.

Проверьте код.

Это определенно не пофайловая проверка. У Linxu есть мощные команды.

grep ‘eval’ * -R ищет во всех файлах текущего каталога (включая подкаталоги) файлы с eval. Это позволяет быстро найти смонтированные файлы.

Что касается eval, пожалуйста, поищите в Google предложение PHP-кода.

2. Проверьте журнал.

До этого момента я не знаю, насколько ценны бревна.

По-прежнему в основном использую команду grep.

Идея: Ответственным сайтом является Linux, у которого открыты только два порта: 22 и 80. Внешние команды выполнения поступают через порт 80. Selinux сообщает httpd о доступе к файлу /boot, подтверждая, что он завис. И все выполнение команд должно POST файла, отправленного на выполнение. Итак, ищите в журнале все записи POST.

cat access_log_20120823.log | grep 'POST' | grep -v 'обратный поиск' | less, исключить обычные сообщения с помощью grep -v. egrep также поддерживает регулярные выражения, но их слишком сложно понять, и я не знаю, как их использовать. это.

(Здесь не рекомендуется использовать cat, вы можете использовать Tail, чтобы добавить файл для просмотра)

Это может предотвратить проблемы до того, как они возникнут, и предотвратить повторный взлом в один прекрасный день. Просматривайте журнал каждый день.

3. Для веб-каталога дайте разрешение rx только пользователю apache, не давайте разрешения w, добавьте rx в настройку каталога, не давайте w, за исключением отдельных файлов. Таким образом, при использовании в сочетании с 2 нерегулярные запросы POST могут быть быстро отфильтрованы в Linux.

Объединив 1 и 2, вы действительно сможете быстро найти взломанные страницы и заменить модифицированные файлы чистым кодом.

Заявление об авторских правах: Содержание этой статьи добровольно предоставлено пользователями Интернета, а мнения, выраженные в этой статье, представляют собой только точку зрения автора. Этот сайт предоставляет только услуги по хранению информации, не имеет никаких прав собственности и не принимает на себя соответствующие юридические обязательства. Если вы обнаружите на этом сайте какое-либо подозрительное нарушение авторских прав/незаконный контент, отправьте электронное письмо, чтобы сообщить. После проверки этот сайт будет немедленно удален.

Издатель: Full stack программист и руководитель стека, укажите источник для перепечатки: https://javaforall.cn/187612.html Исходная ссылка: https://javaforall.cn