PHP恶意入侵篡写文件案例2-服务器安全-网站安全

PHP恶意入侵篡写文件案例2-服务器安全-网站安全-宇柒云阁
PHP恶意入侵篡写文件案例2-服务器安全-网站安全
此内容为免费阅读,请登录后查看
0积分
1、本站大多数资源都采集于网络,部分存在时效性,请各位理智付费!
2、本站所有资源均有可复制性,所以付款后改不退款!
3、本站内容均不提供任何一对一帮助,一对一帮助需要另付价钱!
4、普通用户原价,VIP会员9折,SVIP会员8折
5、关于付费:想白嫖就自己动手查,想快捷就花点钱
免费阅读

文章前言

图片[1]-PHP恶意入侵篡写文件案例2-服务器安全-网站安全-宇柒云阁

这是第二篇了,这篇主要呢就是讲一下怎么分辨这个恶意后门文件(PS:恶意的PHP脚本,用于生成和执行隐藏的Shell代码。这种类型的脚本通常用于后门攻击,允许攻击者远程控制服务器。),这些文件最大的特点呢就是见不得人,毕竟搞这玩意的本来就是绝种牲口,那也不多说,直接进入正题吧。

文章正文

图片[2]-PHP恶意入侵篡写文件案例2-服务器安全-网站安全-宇柒云阁

恶意后门文件特点

1、一般是加密,见不得人的,而且长;

2、有“个性”标志;

3、有这个秘钥等等。

那么该怎么检查呢?

先说个比较难的,这两个非专业人士可以略过不看哈。

使用命令行工具搜索包含特定字符串的文件,例如 evalbase64_decodegzuncompress 等。

Linux系统指令


# 搜索包含 eval 的 PHP 文件
grep -r "eval(" /var/www/html/

# 搜索包含 base64_decode 的 PHP 文件
grep -r "base64_decode(" /var/www/html/

# 搜索包含 gzuncompress 的 PHP 文件
grep -r "gzuncompress(" /var/www/html/

Windows系统指令


rem 搜索包含 eval 的 PHP 文件
findstr /S /M /C:"eval(" *.php

rem 搜索包含 base64_decode 的 PHP 文件
findstr /S /M /C:"base64_decode(" *.php

rem 搜索包含 gzuncompress 的 PHP 文件
findstr /S /M /C:"gzuncompress(" *.php

至于小白的查法呢,也很简单,我这里就以宝塔面板演示,你只需要进入目录:/www/wwwroot 然后点击内容查找,输入关键词进行查找就行了。

(关键词:eval、base64_decode、gzuncompress 、@ini_set )关键词要一个个搜,不要一次全填进去。

图片[3]-PHP恶意入侵篡写文件案例2-服务器安全-网站安全-宇柒云阁
图片[4]-PHP恶意入侵篡写文件案例2-服务器安全-网站安全-宇柒云阁

搜索出来的匹配的内容其实会比较杂,有些也不是这个恶意代码的,但是有一种就绝对是,就是它放在css、js、fonts、img、image这些前端图啊,字体的地方的就一定是恶意后门文件,直接删除即可。当然你如果怕删错了,那么你则可以改变它的后缀或者名称,如果影响到网站了再改回来也不迟。另一种就是直接发给AI让它进行辨别即可。

© 版权声明
THE END
喜欢就支持一下吧
点赞666 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    请登录后查看评论内容