文章前言
这是第二篇了,这篇主要呢就是讲一下怎么分辨这个恶意后门文件(PS:恶意的PHP脚本,用于生成和执行隐藏的Shell代码。这种类型的脚本通常用于后门攻击,允许攻击者远程控制服务器。),这些文件最大的特点呢就是见不得人,毕竟搞这玩意的本来就是绝种牲口,那也不多说,直接进入正题吧。
文章正文
恶意后门文件特点:
1、一般是加密,见不得人的,而且长;
2、有“个性”标志;
3、有这个秘钥等等。
那么该怎么检查呢?
先说个比较难的,这两个非专业人士可以略过不看哈。
使用命令行工具搜索包含特定字符串的文件,例如 eval
、base64_decode
、gzuncompress
等。
Linux系统指令
# 搜索包含 eval 的 PHP 文件
grep -r "eval(" /var/www/html/
# 搜索包含 base64_decode 的 PHP 文件
grep -r "base64_decode(" /var/www/html/
# 搜索包含 gzuncompress 的 PHP 文件
grep -r "gzuncompress(" /var/www/html/
Windows系统指令
rem 搜索包含 eval 的 PHP 文件
findstr /S /M /C:"eval(" *.php
rem 搜索包含 base64_decode 的 PHP 文件
findstr /S /M /C:"base64_decode(" *.php
rem 搜索包含 gzuncompress 的 PHP 文件
findstr /S /M /C:"gzuncompress(" *.php
至于小白的查法呢,也很简单,我这里就以宝塔面板演示,你只需要进入目录:/www/wwwroot 然后点击内容查找,输入关键词进行查找就行了。
(关键词:eval、base64_decode、gzuncompress 、@ini_set )关键词要一个个搜,不要一次全填进去。
搜索出来的匹配的内容其实会比较杂,有些也不是这个恶意代码的,但是有一种就绝对是,就是它放在css、js、fonts、img、image这些前端图啊,字体的地方的就一定是恶意后门文件,直接删除即可。当然你如果怕删错了,那么你则可以改变它的后缀或者名称,如果影响到网站了再改回来也不迟。另一种就是直接发给AI让它进行辨别即可。
© 版权声明
THE END
请登录后查看评论内容