怎样查杀 PHP 网站的后门呢

2014-11-14 17:59:11 +08:00
 vitozhang
网站被挂马留后门了,如何才能找到后门呢,求大神结合自己的经验给个思路
6860 次点击
所在节点    PHP
38 条回复
whywhywhy
2014-11-14 18:22:22 +08:00
php这么灵活……基本没办法通杀。

所以要么找到特征批量的查找,要么……我也不知道
GPU
2014-11-14 20:14:19 +08:00
删了源码重新部署应该是唯一的方法了
gamexg
2014-11-14 21:15:03 +08:00
同 GPU 。
还得注意数据库里面有没有 xss ,否则对方还有可能拿到你的浏览器会话。
msg7086
2014-11-15 07:11:09 +08:00
同 GPU 。
网站有木马基本靠重装。特别像论坛这种非常容易重装的程序,果断装个新的然后移植数据。
vitozhang
2014-11-15 10:43:23 +08:00
@whywhywhy 是否可以Linux命令查找敏感的php函数呢,比如shell_exec等
vitozhang
2014-11-15 10:43:57 +08:00
@GPU 重新部署治标不治本啊,入侵者还会重来的
vitozhang
2014-11-15 10:45:14 +08:00
@gamexg xss只是听过,具体原理不了解
vitozhang
2014-11-15 10:46:00 +08:00
@msg7086 或许还可以添加些权限设置,让他们无法上传大马
gamexg
2014-11-15 11:20:19 +08:00
一些网站后台允许修改网站名称、页头、页尾和广告。这个有些是储存到数据库的。

如果对方在里面加 <script src="http://对方的服务器上保存的脚本" type="text/javascript"></script> ,如果登陆页面插入了他的js,那么之后登陆用户的密码他都能轻松拿到的。
gamexg
2014-11-15 11:22:44 +08:00
无法大马,一句话一样可以搞的。

你要是图省事并且信任360之类的,就直接使用安全宝之类的服务吧...
vitozhang
2014-11-15 11:27:25 +08:00
vitozhang
2014-11-15 11:31:50 +08:00
@gamexg 一句话怎么搞定?360就得了吧
gamexg
2014-11-15 11:44:00 +08:00
搞错了,要是权限配置好,禁止增加、修改、删除网站文件是可以解决一句话的。
whywhywhy
2014-11-15 12:37:42 +08:00
@vitozhang 如果是被入侵后植入的,看看每个文件的修改日期,再检查……

如果是程序本身有漏洞 那基本没戏 查关键词或许有效

但是自从上次看了各种各样的php后面之后,觉得没戏了……因为php太灵活了。
kookxiang
2014-11-15 14:10:01 +08:00
没办法的,PHP非常灵活,按关键字搜根本搜不到,只能用dz那种比对md5的办法人工处理
vitozhang
2014-11-15 14:14:55 +08:00
@kookxiang php终究还是要用来执行shell的嘛,只要搜索正则处理的点就可以找出来吧
GPU
2014-11-15 15:21:00 +08:00
@vitozhang 你需要的不是怎么去查php里面的后门木马,而是完善的程序的漏洞,还是就是加强ssh的验证方式,比如证书登陆
mengzhuo
2014-11-15 15:21:54 +08:00
strace抓原始操作
某司CTO曾经用这个方法抓到一枚3年前植入的webshell
vitozhang
2014-11-15 15:39:20 +08:00
@mengzhuo 太高端了,Linux高端命令还不会用
vitozhang
2014-11-15 15:41:57 +08:00
@GPU 都得有啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/146565

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX