当前位置:首页 > PHP教程 > php高级应用 > 列表

php网站被挂木马修复方法总结

发布:smiling 来源: PHP粉丝网  添加日期:2014-08-22 11:09:47 浏览: 评论:0 

php网站被挂木马修复是次要的最要的是怎么修复之后不再让木马再注入到你的网站才是重要的,下面我来总结一下php网站被挂木马修复与之后防止网站再次给挂木马的方法.

在linux中我们可以使用命令来搜查木马文件,到代码安装目录执行下面命令:

find ./ -iname "*.php" | xargs grep -H -n "eval(base64_decode"

搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉,最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码.

如果你在windows中查找目录直接使用windows文件搜索就可以了,可以搜索eval或最近修改文件,然后如果是dedecms我们要查看最新dedecms漏洞呀然后修补.

下面给个php木马查找工具,直接放到你站点根目录,代码如下:

  1. <?php 
  2.  
  3. /**************PHP Web木马扫描器************************/ 
  4.  
  5. /* [+] 作者: alibaba */ 
  6.  
  7. /* [+] QQ: 1499281192 * www.phpfensi.com/ 
  8.  
  9. /* [+] MSN: weeming21@hotmail.com */ 
  10.  
  11. /* [+] 首发: t00ls.net , 转载请注明t00ls */ 
  12.  
  13. /* [+] 版本: v1.0 */ 
  14.  
  15. /* [+] 功能: web版php木马扫描工具*/ 
  16.  
  17. /* [+] 注意: 扫描出来的文件并不一定就是后门, */ 
  18.  
  19. /* 请自行判断、审核、对比原文件。*/ 
  20.  
  21. /* 如果你不确定扫出来的文件是否为后门,*/ 
  22.  
  23. /* 欢迎你把该文件发给我进行分析。*/ 
  24.  
  25. /*******************************************************/ 
  26.  
  27. ob_start(); 
  28.  
  29. set_time_limit(0); 
  30.  
  31. $username = "t00ls"//设置用户名 
  32.  
  33. $password = "t00ls"//设置密码 
  34.  
  35. $md5 = md5(md5($username).md5($password)); 
  36.  
  37. $version = "PHP Web木马扫描器v1.0"; 
  38.  
  39. PHP Web 木马扫描器 
  40.  
  41. $realpath = realpath('./'); 
  42.  
  43. $selfpath = $_SERVER['PHP_SELF']; 
  44.  
  45. $selfpath = substr($selfpath, 0, strrpos($selfpath,'/')); 
  46.  
  47. define('REALPATH'str_replace('//','/',str_replace('\','/',substr($realpath, 0, strlen($realpath) - strlen($selfpath))))); 
  48.  
  49. define('MYFILE'basename(__FILE__)); 
  50.  
  51. define('MYPATH'str_replace('\', '/', dirname(__FILE__)).'/'); 
  52.  
  53. define('MYFULLPATH'str_replace('\', '/', (__FILE__))); 
  54.  
  55. define('HOST'"http://".$_SERVER['HTTP_HOST']); 
  56.  
  57. ?> 
  58.  
  59. <html> 
  60.  
  61. <head> 
  62.  
  63. <title><?php echo $version?></title> 
  64.  
  65. <meta http-equiv="Content-Type" content="text/html; charset=gb2312" /> 
  66.  
  67. <style> 
  68.  
  69. body{margin:0px;} 
  70.  
  71. body,td{font: 12px Arial,Tahoma;line-height: 16px;} 
  72.  
  73. a {color: #00f;text-decoration:underline;} 
  74.  
  75. a:hover{color: #f00;text-decoration:none;} 
  76.  
  77. .alt1 td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#f1f1f1;padding:5px 10px 5px 5px;} 
  78.  
  79. .alt2 td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#f9f9f9;padding:5px 10px 5px 5px;} 
  80.  
  81. .focus td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#ffffaa;padding:5px 10px 5px 5px;} 
  82.  
  83. .head td{border-top:1px solid #fff;border-bottom:1px solid #ddd;background:#e9e9e9;padding:5px 10px 5px 5px;font-weight:bold;} 
  84.  
  85. .head td span{font-weight:normal;} 
  86.  
  87. </style> 
  88.  
  89. </head> 
  90.  
  91. <body> 
  92.  
  93. <?php 
  94.  
  95. if(!(isset($_COOKIE['t00ls']) && $_COOKIE['t00ls'] == $md5) && !(isset($_POST['username']) && isset($_POST['password']) && (md5(md5($_POST['username']).md5($_POST['password']))==$md5))) 
  96.  
  97.  
  98. echo '<form id="frmlogin" name="frmlogin" method="post" action="">用户名: <input type="text" name="username" id="username" /> 密码: <input type="password" name="password" id="password" /> <input type="submit" name="btnLogin" id="btnLogin" value="登陆" /></form>'
  99.  
  100.  
  101. elseif(isset($_POST['username']) && isset($_POST['password']) && (md5(md5($_POST['username']).md5($_POST['password']))==$md5)) 
  102.  
  103.  
  104. setcookie("t00ls"$md5, time()+60*60*24*365,"/"); 
  105.  
  106. echo "登陆成功!"
  107.  
  108. header( 'refresh: 1; url='.MYFILE.'?action=scan' ); 
  109.  
  110. exit(); 
  111.  
  112.  
  113. else 
  114.  
  115.  
  116. setcookie("t00ls"$md5, time()+60*60*24*365,"/"); 
  117.  
  118. $setting = getSetting(); 
  119.  
  120. $action = isset($_GET['action'])?$_GET['action']:""
  121.  
  122.   
  123.  
  124. if($action=="logout"
  125.  
  126.  
  127. setcookie ("t00ls""", time() - 3600); 
  128.  
  129. Header("Location: ".MYFILE); 
  130.  
  131. exit(); 
  132.  
  133.  
  134. if($action=="download" && isset($_GET['file']) && trim($_GET['file'])!=""
  135.  
  136.  
  137. $file = $_GET['file']; 
  138.  
  139. ob_clean(); 
  140.  
  141. if (@file_exists($file)) { 
  142.  
  143. header("Content-type: application/octet-stream"); 
  144.  
  145. header("Content-Disposition: filename="".basename($file)."""); 
  146.  
  147. echo file_get_contents($file); 
  148.  
  149.  
  150. exit(); 
  151.  
  152.  
  153. ?> 
  154.  
  155. <table border="0" cellpadding="0" cellspacing="0" width="100%"
  156.  
  157. <tbody><tr class="head"
  158.  
  159. <td><?php echo $_SERVER['SERVER_ADDR']?><span style="float: right; font-weight:bold;"><?php echo "<a href='http://www.t00ls.net/'>$version</a>"?></span></td> 
  160.  
  161. </tr> 
  162.  
  163. <tr class="alt1"
  164.  
  165. <td><span style="float: right;"><?=date("Y-m-d H:i:s",mktime())?></span> 
  166.  
  167. <a href="?action=scan">扫描</a> | 
  168.  
  169. <a href="?action=setting">设定</a> | 
  170.  
  171. <a href="?action=logout">登出</a> 
  172.  
  173. </td> 
  174.  
  175. </tr> 
  176.  
  177. </tbody></table> 
  178.  
  179. <br> 
  180.  
  181. <?php 
  182.  
  183. if($action=="setting"
  184.  
  185.  
  186. if(isset($_POST['btnsetting'])) 
  187.  
  188.  
  189. $Ssetting = array(); 
  190.  
  191. $Ssetting['user']=isset($_POST['checkuser'])?$_POST['checkuser']:"php | php? | phtml"
  192.  
  193. $Ssetting['all']=isset($_POST['checkall'])&&$_POST['checkall']=="on"?1:0; 
  194.  
  195. $Ssetting['hta']=isset($_POST['checkhta'])&&$_POST['checkhta']=="on"?1:0; 
  196.  
  197. setcookie("t00ls_s"base64_encode(serialize($Ssetting)), time()+60*60*24*365,"/"); 
  198.  
  199. echo "设置完成!"
  200.  
  201. header( 'refresh: 1; url='.MYFILE.'?action=setting' ); 
  202.  
  203. exit(); 
  204.  
  205.  
  206. ?> 
  207.  
  208. <form name="frmSetting" method="post" action="?action=setting"
  209.  
  210. <FIELDSET style="width:400px"
  211.  
  212. <LEGEND>扫描设定</LEGEND> 
  213.  
  214. <table width="100%" border="0" cellspacing="0" cellpadding="0"
  215.  
  216. <tr> 
  217.  
  218. <td width="60">文件后缀:</td> 
  219.  
  220. <td width="300"><input type="text" name="checkuser" id="checkuser" style="width:300px;" value="<?php echo $setting['user']?>"></td> 
  221.  
  222. </tr> 
  223.  
  224. <tr> 
  225.  
  226. <td><label for="checkall">所有文件</label></td> 
  227.  
  228. <td><input type="checkbox" name="checkall" id="checkall" <?php if($setting['all']==1) echo "checked"?>></td> 
  229.  
  230. </tr> 
  231.  
  232. <tr> 
  233.  
  234. <td><label for="checkhta">设置文件</label></td> 
  235.  
  236. <td><input type="checkbox" name="checkhta" id="checkhta" <?php if($setting['hta']==1) echo "checked"?>></td> 
  237.  
  238. </tr> 
  239.  
  240. <tr> 
  241.  
  242. <td>&nbsp;</td> 
  243.  
  244. <td> 
  245.  
  246. <input type="submit" name="btnsetting" id="btnsetting" value="提交"
  247.  
  248. </td> 
  249.  
  250. </tr> 
  251.  
  252. </table> 
  253.  
  254. </fieldset> 
  255.  
  256. </form> 
  257.  
  258. <?php 
  259.  
  260.  
  261. else 
  262.  
  263.  
  264. $dir = isset($_POST['path'])?$_POST['path']:MYPATH; 
  265.  
  266. $dir = substr($dir,-1)!="/"?$dir."/":$dir
  267.  
  268. ?> 
  269.  
  270. <form name="frmScan" method="post" action=""
  271.  
  272. <table width="100%%" border="0" cellspacing="0" cellpadding="0"
  273.  
  274. <tr> 
  275.  
  276. <td width="35" style="vertical-align:middle; padding-left:5px;">扫描路径:</td> 
  277.  
  278. <td width="690"
  279.  
  280. <input type="text" name="path" id="path" style="width:600px" value="<?php echo $dir?>"
  281.  
  282. &nbsp;&nbsp;<input type="submit" name="btnScan" id="btnScan" value="开始扫描"></td> 
  283.  
  284. </tr> 
  285.  
  286. </table> 
  287.  
  288. </form> 
  289.  
  290. <?php 
  291.  
  292. if(isset($_POST['btnScan'])) 
  293.  
  294.  
  295. $start=mktime(); 
  296.  
  297. $is_user = array(); 
  298.  
  299. $is_ext = ""
  300.  
  301. $list = ""
  302.  
  303.   
  304.  
  305. if(trim($setting['user'])!=""
  306.  
  307.  
  308. $is_user = explode("|",$setting['user']); 
  309.  
  310. if(count($is_user)>0) 
  311.  
  312.  
  313. foreach($is_user as $key=>$value
  314.  
  315. $is_user[$key]=trim(str_replace("?","(.)",$value)); 
  316.  
  317. $is_ext = "(.".implode("($|.))|(.",$is_user)."($|.))"
  318.  
  319.  
  320.  
  321. if($setting['hta']==1) 
  322.  
  323.  
  324. $is_hta=1; 
  325.  
  326. $is_ext = strlen($is_ext)>0?$is_ext."|":$is_ext
  327.  
  328. $is_ext.="(^.htaccess$)"
  329.  
  330.  
  331. if($setting['all']==1 || (strlen($is_ext)==0 && $setting['hta']==0)) 
  332.  
  333.  
  334. $is_ext="(.+)"
  335.  
  336.  
  337.   
  338.  
  339. $php_code = getCode(); 
  340.  
  341. if(!is_readable($dir)) 
  342.  
  343. $dir = MYPATH; 
  344.  
  345. $count=$scanned=0; 
  346.  
  347. scan($dir,$is_ext); 
  348.  
  349. $end=mktime(); 
  350.  
  351. $spent = ($end - $start); 
  352.  
  353. ?> 
  354.  
  355. <div style="padding:10px; background-color:#ccc">扫描: <?php echo $scanned?> 文件| 发现: <?php echo $count?> 可疑文件| 耗时: <?php echo $spent?> 秒</div> 
  356.  
  357. <table width="100%" border="0" cellspacing="0" cellpadding="0"
  358.  
  359. <tr class="head"
  360.  
  361. <td width="15" align="center">No.</td> 
  362.  
  363. <td width="48%">文件</td> 
  364.  
  365. <td width="12%">更新时间</td> 
  366.  
  367. <td width="10%">原因</td> 
  368.  
  369. <td width="20%">特征</td> 
  370.  
  371. <td>动作</td> 
  372.  
  373. </tr> 
  374.  
  375. <?php echo $list?> 
  376.  
  377. </table> 
  378.  
  379. <?php 
  380.  
  381.  
  382.  
  383.  
  384. ob_flush(); 
  385.  
  386. ?> 
  387.  
  388. </body> 
  389.  
  390. </html> 
  391.  
  392. <?php 
  393.  
  394. function scan($path = '.',$is_ext){ 
  395.  
  396. global $php_code,$count,$scanned,$list
  397.  
  398. $ignore = array('.''..' ); 
  399.  
  400. $replace=array(" ","n","r","t"); 
  401.  
  402. $dh = @opendir( $path ); 
  403.  
  404.   
  405.  
  406.   
  407.  
  408. while(false!==($file=readdir($dh))){ 
  409.  
  410. if( !in_array( $file$ignore ) ){ 
  411.  
  412. ifis_dir"$path$file" ) ){ 
  413.  
  414. scan("$path$file/",$is_ext); 
  415.  
  416. else { 
  417.  
  418. $current = $path.$file
  419.  
  420. if(MYFULLPATH==$currentcontinue
  421.  
  422. if(!preg_match("/$is_ext/i",$file)) continue
  423.  
  424. if(is_readable($current)) 
  425.  
  426.  
  427. $scanned++; 
  428.  
  429. $content=file_get_contents($current); 
  430.  
  431. $contentstr_replace($replace,"",$content); 
  432.  
  433. foreach($php_code as $key => $value
  434.  
  435.  
  436. if(preg_match("/$value/i",$content)) 
  437.  
  438.  
  439. $count++; 
  440.  
  441. $j = $count % 2 + 1; 
  442.  
  443. $filetime = date('Y-m-d H:i:s',filemtime($current)); 
  444.  
  445. $reason = explode("->",$key); 
  446.  
  447. $url = str_replace(REALPATH,HOST,$current); 
  448.  
  449. preg_match("/$value/i",$content,$arr); 
  450.  
  451. $list.=" 
  452.  
  453. <tr class='alt$j' onmouseover='this.className="focus";' onmouseout='this.className="alt$j";'
  454.  
  455. <td>$count</td> 
  456.  
  457. <td><a href='$url' target='_blank'>$current</a></td> 
  458.  
  459. <td>$filetime</td> 
  460.  
  461. <td><font color=red>$reason[0]</font></td> 
  462.  
  463. <td><font color=#090>$reason[1]</font></td> 
  464.  
  465. <td><a href='?action=download&file=$current' target='_blank'>下载</a></td> 
  466.  
  467. </tr>"; 
  468.  
  469. //echo $key . "-" . $path . $file ."(" . $arr[0] . ")" ."<br />"; 
  470.  
  471. //echo $path . $file ."<br />"; 
  472.  
  473. break
  474.  
  475.  
  476.  
  477.  
  478.  
  479.  
  480.  
  481. closedir$dh ); 
  482.  
  483.  
  484. function getSetting() 
  485.  
  486.  
  487. $Ssetting = array(); 
  488.  
  489. if(isset($_COOKIE['t00ls_s'])) 
  490.  
  491.  
  492. $Ssetting = unserialize(base64_decode($_COOKIE['t00ls_s'])); 
  493.  
  494. $Ssetting['user']=isset($Ssetting['user'])?$Ssetting['user']:"php | php? | phtml | shtml"
  495.  
  496. $Ssetting['all']=isset($Ssetting['all'])?intval($Ssetting['all']):0; 
  497.  
  498. $Ssetting['hta']=isset($Ssetting['hta'])?intval($Ssetting['hta']):1; 
  499.  
  500.  
  501. else 
  502.  
  503.  
  504. $Ssetting['user']="php | php? | phtml | shtml"
  505.  
  506. $Ssetting['all']=0; 
  507.  
  508. $Ssetting['hta']=1; 
  509.  
  510. setcookie("t00ls_s"base64_encode(serialize($Ssetting)), time()+60*60*24*365,"/"); 
  511.  
  512.  
  513. return $Ssetting
  514.  
  515.  
  516. function getCode() 
  517.  
  518.  
  519. return array
  520.  
  521. '后门特征->phpfensi.com'=>'phpfensi.com'
  522.  
  523. '后门特征->c99shell'=>'c99shell'
  524.  
  525. '后门特征->phpspy'=>'phpspy'
  526.  
  527. '后门特征->Scanners'=>'Scanners'
  528.  
  529. '后门特征->cmd.php'=>'cmd.php'
  530.  
  531. '后门特征->str_rot13'=>'str_rot13'
  532.  
  533. '后门特征->webshell'=>'webshell'
  534.  
  535. '后门特征->EgY_SpIdEr'=>'EgY_SpIdEr'
  536.  
  537. '后门特征->tools88.com'=>'tools88.com'
  538.  
  539. '后门特征->SECFORCE'=>'SECFORCE'
  540.  
  541. '后门特征->eval("?>'=>'eval(('|")?>', 
  542.  
  543. '可疑代码特征->system('=>'system('
  544.  
  545. '可疑代码特征->passthru('=>'passthru('
  546.  
  547. '可疑代码特征->shell_exec('=>'shell_exec('
  548.  
  549. '可疑代码特征->exec('=>'exec('
  550.  
  551. '可疑代码特征->popen('=>'popen('
  552.  
  553. '可疑代码特征->proc_open'=>'proc_open'
  554.  
  555. '可疑代码特征->eval($'=>'eval(('|"|s*)\$', 
  556.  
  557. '可疑代码特征->assert($'=>'assert(('|"|s*)\$', 
  558.  
  559. '危险MYSQL代码->returns string soname'=>'returnsstringsoname'
  560.  
  561. '危险MYSQL代码->into outfile'=>'intooutfile'
  562.  
  563. '危险MYSQL代码->load_file'=>'select(s+)(.*)load_file'
  564.  
  565. '加密后门特征->eval(gzinflate('=>'eval(gzinflate('
  566.  
  567. '加密后门特征->eval(base64_decode('=>'eval(base64_decode('
  568.  
  569. '加密后门特征->eval(gzuncompress('=>'eval(gzuncompress('
  570.  
  571. '加密后门特征->eval(gzdecode('=>'eval(gzdecode('
  572.  
  573. '加密后门特征->eval(str_rot13('=>'eval(str_rot13('
  574.  
  575. '加密后门特征->gzuncompress(base64_decode('=>'gzuncompress(base64_decode('
  576.  
  577. '加密后门特征->base64_decode(gzuncompress('=>'base64_decode(gzuncompress('
  578.  
  579. '一句话后门特征->eval($_'=>'eval(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  580.  
  581. '一句话后门特征->assert($_'=>'assert(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  582.  
  583. '一句话后门特征->require($_'=>'require(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  584.  
  585. '一句话后门特征->require_once($_'=>'require_once(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  586.  
  587. '一句话后门特征->include($_'=>'include(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  588.  
  589. '一句话后门特征->include_once($_'=>'include_once(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  590.  
  591. '一句话后门特征->call_user_func("assert"'=>'call_user_func(("|')assert("|')'
  592.  
  593. '一句话后门特征->call_user_func($_'=>'call_user_func(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  594.  
  595. '一句话后门特征->$_POST/GET/REQUEST/COOKIE[?]($_POST/GET/REQUEST/COOKIE[?]'=>'$_(POST|GET|REQUEST|COOKIE)[([^]]+)](('|"|s*)\$_(POST|GET|REQUEST|COOKIE)[', 
  596.  
  597. '一句话后门特征->echo(file_get_contents($_POST/GET/REQUEST/COOKIE'=>'echo(file_get_contents(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  598.  
  599. '上传后门特征->file_put_contents($_POST/GET/REQUEST/COOKIE,$_POST/GET/REQUEST/COOKIE'=>'file_put_contents(('|"|s*)\$_(POST|GET|REQUEST|COOKIE)[([^]]+)],('|"|s*)\$_(POST|GET|REQUEST|COOKIE)', 
  600.  
  601. '上传后门特征->fputs(fopen("?","w"),$_POST/GET/REQUEST/COOKIE['=>'fputs(fopen((.+),('|")w('|")),('|"|s*)\$_(POST|GET|REQUEST|COOKIE)[', 
  602.  
  603. '.htaccess插马特征->SetHandler application/x-httpd-php'=>'SetHandlerapplication/x-httpd-php'
  604.  
  605. '.htaccess插马特征->php_value auto_prepend_file'=>'php_valueauto_prepend_file'
  606.  
  607. '.htaccess插马特征->php_value auto_append_file'=>'php_valueauto_append_file' 
  608. //开源代码phpfensi.com 
  609. );
  610. }
  611. ?> 

Tags: php网站挂马 php网站被挂木马

分享到: