发现网站异常跳转、未知文件或资源占用突增,可能是PHP木马植入;需通过检查可疑PHP文件、分析Web日志、扫描特征码、禁用危险函数及启用open_basedir五步识别与防范。
如果您发现网站页面异常跳转、出现未知文件或服务器资源占用率突然升高,则可能是PHP木马已植入系统。以下是识别与防范PHP木马的具体操作步骤:
一、检查可疑PHP文件
攻击者常将木马伪装为正常PHP文件,放置在网站可写目录(如upload、cache、tmp)或混淆命名(如1.php、a.php、shell.php)。需人工筛查非业务逻辑的独立PHP脚本。
1、通过SSH登录服务器,执行命令:find /var/www -name "*.php" -type f -mtime -30,筛选近30天新增的PHP文件。
2、对结果中非项目源码目录下的PHP文件,使用cat 文件名 | head -n 20查看头部内容,重点识别eval、base64_decode、gzinflate、str_rot13、assert等危险函数调用。
立即学习“PHP免费学习笔记(深入)”;
3、比对Git或SVN版本库记录,确认该文件是否为合法提交,无版本记录且含远程请求或文件写入行为的必须隔离。
二、分析Web访问日志中的异常请求
PHP木马常通过GET/POST参数触发执行,日志中会留下高频、非常规路径或含编码payload的请求痕迹,是定位入口点的关键依据。
1、进入Apache或Nginx日志目录,执行:grep -E "\.(php\?|\.php\+|cmd=|shell=|action=)" /var/log/apache2/access.log。
2、筛选出返回状态码为200但URL含base64|eval|system|passthru|exec|proc_open等关键词的行。
3、提取对应IP地址,运行:grep "可疑IP" /var/log/apache2/access.log | awk '{print $7}' | sort | uniq -c | sort -nr,确认其高频访问的PHP脚本路径。
三、使用Linux命令行工具扫描木马特征
利用系统自带命令快速匹配已知木马特征码,无需安装额外软件,适用于紧急响应场景。
1、在网站根目录执行:grep -r --include="*.php" "eval.*base64_decode\|file_put_contents.*$_(POST|GET|REQUEST)" .。
标签: php linux html git node apache 宝塔面板 nginx 编码 浏览器 access 工具 状
还木有评论哦,快来抢沙发吧~