易语言实地培训长期招生 QQ1615457736

乐易论坛

 找回密码
 立即注册

微信登录

微信扫码,快速开始

QQ登录

用QQ账号登陆

导航
导航
培训
培训
产品
产品
易语言第5期实地培训火热招生TQApiEc---专为PCQQ/TIM 开发的API接口模块,让你直接调用内部功能WxApiEc-专为PCWx开发的API接口模块,让你快速调用内部功能
易语言第5期实地培训火热招生TQApiEc---专为PCQQ/TIM 开发的API接口模块,让你直接调用内部功能WxApiEc-专为PCWx开发的API接口模块,让你快速调用内部功能
易语言第5期实地培训火热招生TQApiEc---专为PCQQ/TIM 开发的API接口模块,让你直接调用内部功能WxApiEc-专为PCWx开发的API接口模块,让你快速调用内部功能
易歪歪客服聊天助手——永久免费易歪歪客服聊天助手——永久免费易歪歪客服聊天助手——永久免费
广告位招租广告位招租广告位招租
云课堂动态
查看: 6677|回复: 4
收起左侧

php网站被挂木马后的修复方法总结

[复制链接]
  • TA的每日心情
    奋斗
    2019-1-8 08:42
  • 签到天数: 14 天

    [LV.3]偶尔看看II

    发表于 2016-12-10 19:34:15 | 显示全部楼层 |阅读模式

    乐易编程网免费注册!抓住机会哦!

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x

    本文实例总结了php网站被挂木马后的修复方法。分享给大家供大家参考。具体方法如下:


    在linux中我们可以使用命令来搜查木马文件,到代码安装目录执行下面命令
    复制代码 代码如下:
    find ./ -iname "*.php" | xargs grep -H -n "eval(base64_decode"

    搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉
    最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码
    如果你在windows中查找目录直接使用windows文件搜索就可以了,可以搜索eval或最近修改文件,然后如果是dedecms我们要查看最新dedecms漏洞呀然后修补。
    下面给个php木马查找工具,直接放到你站点根目录

    复制代码 代码如下:
    <?php
    /**************PHP Web木马扫描器************************/
    /* [+] 作者: alibaba */
    /* [+] MSN: weeming21@hotmail.com */
    /* [+] 首发: t00ls.net , 转载请注明t00ls */
    /* [+] 版本: v1.0 */
    /* [+] 功能: web版php木马扫描工具*/
    /* [+] 注意: 扫描出来的文件并不一定就是后门, */
    /* 请自行判断、审核、对比原文件。*/
    /* 如果你不确定扫出来的文件是否为后门,*/
    /* 欢迎你把该文件发给我进行分析。*/
    /*******************************************************/
    ob_start();
    set_time_limit(0);
    $username = "t00ls"; //设置用户名
    $password = "t00ls"; //设置密码
    $md5 = md5(md5($username).md5($password));
    $version = "PHP Web木马扫描器v1.0";

    PHP Web 木马扫描器
    $realpath = realpath('./');
    $selfpath = $_SERVER['PHP_SELF'];
    $selfpath = substr($selfpath, 0, strrpos($selfpath,'/'));
    define('REALPATH', str_replace('//','/',str_replace('\','/',substr($realpath, 0, strlen($realpath) - strlen($selfpath)))));
    define('MYFILE', basename(__FILE__));
    define('MYPATH', str_replace('\', '/', dirname(__FILE__)).'/');
    define('MYFULLPATH', str_replace('\', '/', (__FILE__)));
    define('HOST', "http://".$_SERVER['HTTP_HOST']);
    ?>
    <html>
    <head>
    <title><?php echo $version?></title>
    <meta http-equiv="Content-Type" content="text/html; charset=gb2312" />
    <style>
    body{margin:0px;}
    body,td{font: 12px Arial,Tahoma;line-height: 16px;}
    a {color: #00f;text-decoration:underline;}
    a:hover{color: #f00;text-decoration:none;}
    .alt1 td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#f1f1f1;padding:5px 10px 5px 5px;}
    .alt2 td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#f9f9f9;padding:5px 10px 5px 5px;}
    .focus td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#ffffaa;padding:5px 10px 5px 5px;}
    .head td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#e9e9e9;padding:5px 10px 5px 5px;font-weight:bold;}
    .head td span{font-weight:normal;}
    </style>
    </head>
    <body>
    <?php
    if(!(isset($_COOKIE['t00ls']) && $_COOKIE['t00ls'] == $md5) && !(isset($_post['username']) && isset($_POST['password']) && (md5(md5($_POST['username']).md5($_POST['password']))==$md5)))
    {
    echo '<form id="frmlogin" name="frmlogin" method="post" action="">用户名: <input type="text" name="username" id="username" /> 密码: <input type="password" name="password" id="password" /> <input type="submit" name="btnLogin" id="btnLogin" value="登陆" /></form>';
    }
    elseif(isset($_POST['username']) && isset($_POST['password']) && (md5(md5($_POST['username']).md5($_POST['password']))==$md5))
    {
    setcookie("t00ls", $md5, time()+60*60*24*365,"/");
    echo "登陆成功!";
    header( 'refresh: 1; url='.MYFILE.'?action=scan' );
    exit();
    }
    else
    {
    setcookie("t00ls", $md5, time()+60*60*24*365,"/");
    $setting = getSetting();
    $action = isset($_GET['action'])?$_GET['action']:"";

    if($action=="logout")
    {
    setcookie ("t00ls", "", time() - 3600);
    Header("Location: ".MYFILE);
    exit();
    }
    if($action=="download" && isset($_GET['file']) && trim($_GET['file'])!="")
    {
    $file = $_GET['file'];
    ob_clean();
    if (@file_exists($file)) {
    header("Content-type: Application/octet-stream");
    header("Content-Disposition: filename="".basename($file).""");

    echo file_get_contents($file);
    }
    exit();
    }
    ?>
    <table border="0" cellpadding="0" cellspacing="0" width="100%">
    <tbody><tr class="head">
    <td><?php echo $_SERVER['SERVER_ADDR']?><span style="float: right; font-weight:bold;"><?php echo "<a href='http://www.t00ls.net/'>$version</a>"?></span></td>
    </tr>
    <tr class="alt1">
    <td><span style="float: right;"><?=date("Y-m-d H:i:s",mktime())?></span>
    <a href="?action=scan">扫描</a> |
    <a href="?action=setting">设定</a> |
    <a href="?action=logout">登出</a>
    </td>
    </tr>
    </tbody></table>
    <br>
    <?php
    if($action=="setting")
    {
    if(isset($_POST['btnsetting']))
    {
    $Ssetting = array();
    $Ssetting['user']=isset($_POST['checkuser'])?$_POST['checkuser']:"php | php? | phtml";
    $Ssetting['all']=isset($_POST['checkall'])&&$_POST['checkall']=="on"?1:0;
    $Ssetting['hta']=isset($_POST['checkhta'])&&$_POST['checkhta']=="on"?1:0;
    setcookie("t00ls_s", base64_encode(serialize($Ssetting)), time()+60*60*24*365,"/");
    echo "设置完成!";
    header( 'refresh: 1; url='.MYFILE.'?action=setting' );
    exit();
    }
    ?>
    <form name="frmSetting" method="post" action="?action=setting">
    <FIELDSET style="width:400px">
    <LEGEND>扫描设定</LEGEND>
    <table width="100%" border="0" cellspacing="0" cellpadding="0">
    <tr>
    <td width="60">文件后缀:</td>
    <td width="300"><input type="text" name="checkuser" id="checkuser" style="width:300px;" value="<?php echo $setting['user']?>"></td>
    </tr>
    <tr>
    <td><label for="checkall">所有文件</label></td>
    <td><input type="checkbox" name="checkall" id="checkall" <?php if($setting['all']==1) echo "checked"?>></td>
    </tr>
    <tr>
    <td><label for="checkhta">设置文件</label></td>
    <td><input type="checkbox" name="checkhta" id="checkhta" <?php if($setting['hta']==1) echo "checked"?>></td>
    </tr>
    <tr>
    <td> </td>
    <td>
    <input type="submit" name="btnsetting" id="btnsetting" value="提交">
    </td>
    </tr>
    </table>
    </fieldset>
    </form>
    <?php
    }
    else
    {
    $dir = isset($_POST['path'])?$_POST['path']:MYPATH;
    $dir = substr($dir,-1)!="/"?$dir."/":$dir;
    ?>
    <form name="frmScan" method="post" action="">
    <table width="100%%" border="0" cellspacing="0" cellpadding="0">
    <tr>
    <td width="35" style="vertical-align:middle; padding-left:5px;">扫描路径:</td>
    <td width="690">
    <input type="text" name="path" id="path" style="width:600px" value="<?php echo $dir?>">
      <input type="submit" name="btnScan" id="btnScan" value="开始扫描"></td>
    </tr>
    </table(www.jb51.net)>
    </form>
    <?php
    if(isset($_POST['btnScan']))
    {
    $start=mktime();
    $is_user = array();
    $is_ext = "";
    $list = "";

    if(trim($setting['user'])!="")
    {
    $is_user = explode("|",$setting['user']);
    if(count($is_user)>0)
    {
    foreach($is_user as $key=>$value)
    $is_user[$key]=trim(str_replace("?","(.)",$value));
    $is_ext = "(.".implode("($|.))|(.",$is_user)."($|.))";
    }
    }
    if($setting['hta']==1)
    {
    $is_hta=1;
    $is_ext = strlen($is_ext)>0?$is_ext."|":$is_ext;

    $is_ext.="(^.htaccess$)";
    }
    if($setting['all']==1 || (strlen($is_ext)==0 && $setting['hta']==0))
    {
    $is_ext="(.+)";
    }

    $php_code = getCode();
    if(!is_readable($dir))
    $dir = MYPATH;
    $count=$scanned=0;
    scan($dir,$is_ext);
    $end=mktime();
    $spent = ($end - $start);
    ?>
    <div style="padding:10px; background-color:#ccc">扫描: <?php echo $scanned?> 文件| 发现: <?php echo $count?> 可疑文件| 耗时: <?php echo $spent?> 秒</div>
    <table width="100%" border="0" cellspacing="0" cellpadding="0">
    <tr class="head">
    <td width="15" align="center">No.</td>
    <td width="48%">文件</td>
    <td width="12%">更新时间</td>
    <td width="10%">原因</td>
    <td width="20%">特征</td>
    <td>动作</td>
    </tr>
    <?php echo $list?>
    </table>
    <?php
    }
    }
    }
    ob_flush();
    ?>
    </body>
    </html>
    <?php
    function scan($path = '.',$is_ext){
    global $php_code,$count,$scanned,$list;
    $ignore = array('.', '..' );
    $replace=array(" ","n","r","t");
    $dh = @opendir( $path );
    while(false!==($file=readdir($dh))){
    if( !in_array( $file, $ignore ) ){
    if( is_dir( "$path$file" ) ){
    scan("$path$file/",$is_ext);
    } else {
    $current = $path.$file;
    if(MYFULLPATH==$current) continue;
    if(!preg_match("/$is_ext/i",$file)) continue;
    if(is_readable($current))
    {
    $scanned++;
    $content=file_get_contents($current);
    $content= str_replace($replace,"",$content);
    foreach($php_code as $key => $value)
    {
    if(preg_match("/$value/i",$content))
    {
    $count++;
    $j = $count % 2 + 1;
    $filetime = date('Y-m-d H:i:s',filemtime($current));
    $reason = explode("->",$key);
    $url = str_replace(REALPATH,HOST,$current);
    preg_match("/$value/i",$content,$arr);
    $list.="
    <tr class='alt$j'
    );
    }
    ?>

                希望大家基于php的网站安全建设有所帮助。



    易语言实地培训,报名联系QQ 1615457736
    [超强]《易语言软件加密(防破解)技术特训》
    回复

    使用道具 举报

  • TA的每日心情
    难过
    前天 23:13
  • 签到天数: 124 天

    [LV.7]常住居民III

    发表于 2016-12-11 00:28:05 | 显示全部楼层
    感谢感谢,谢谢楼主分享
    易语言实地培训,报名联系QQ 1615457736
    [超强]《易语言软件加密(防破解)技术特训》
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    昨天 08:59
  • 签到天数: 382 天

    [LV.9]以坛为家II

    发表于 2016-12-12 12:08:06 | 显示全部楼层
    太棒了,感谢楼主,Mrak一下
    易语言实地培训,报名联系QQ 1615457736
    [超强]《易语言软件加密(防破解)技术特训》
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2018-12-28 09:09
  • 签到天数: 3 天

    [LV.2]偶尔看看I

    发表于 2016-12-12 15:54:59 | 显示全部楼层
    666666666666666太棒了,感谢楼主,Mrak一下
    易语言实地培训,报名联系QQ 1615457736
    [超强]《易语言软件加密(防破解)技术特训》
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2017-11-4 16:34
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2017-11-1 18:12:31 | 显示全部楼层

    太棒了,感谢楼主,Mrak一下
    易语言实地培训,报名联系QQ 1615457736
    [超强]《易语言软件加密(防破解)技术特训》
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    乐易推荐上一条 /6 下一条

    QQ|网站地图|Archiver|手机版|小黑屋|乐易论坛 ( 湘ICP备19007035号-2 )

    GMT+8, 2020-5-29 07:57 , Processed in 0.065659 second(s), 103 queries .

    Powered by Discuz! X3.4 Licensed

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表