一次PHP网站木马查杀记录

最新推荐文章于 2024-09-02 20:37:59 发布
最新推荐文章于 2024-09-02 20:37:59 发布
阅读量1k 收藏
点赞数 1
分类专栏: php 安全运维 文章标签: 安全漏洞 运维 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/claychenlei/article/details/108400850
版权

公司网站是PHP开发的,之前因为工作重点原因没注意,最近因域名备案变更问题重新关注了一下,发现竟然被注入木马,会跳转到赌博之类的违法站点,作为技术人员当然不能放过。

因为网站还可以访问,虽然每天来访IP不超过三位数,但也不能随便关闭,SSH登录后台打包下载

cd /sites
tar -cvzf www20200904.tar.gz www

下载完成后本地使用腾讯管家和360扫描了一下,果然发现木马,被感染的是图片和php文件,直接删除,然后从之前备份的未被感染的文件复制一份过去。

然后把压缩包上传到百度开放监测网站进行监测

结果如下:

发现了隐藏文件,以" ._ "开头,打开都是加密后的十六进制

本地发现木马生成的以" ._ "开头的文件太多,每个目录都有,手动删除太费时费力,直接在Linux下删除。

#把网站文件复制到当前目录下 root目录
cp -r  /sites/www .  (cp -r 源目录/* 指定目录)

# 查找符合条件的所有文件,然后执行删除操作
find ./www -name "._*" -exec rm "{}" \;

#使用这条命令会出现下面错误提示!!!  find ./ -name "._*" -exec rm -rf "{}"

#错误:find: missing argument to `-exec'

然后删除替换其他还有恶意代码的文件,比如首页

然后本地测试处理后的网站能否正常运行,没问题直接删除原来服务器上的程序后上传本地文件。

服务器和数据库暂时未发现木马,等待后续检查监测。

依次处理其他感染木马的项目。

 

 

 

 

 


 

 

claychenlei
关注
专栏目录
php简短一句话木马免杀,免杀/一句话木马(PHP)
weixin_39598568的博客
03-13 2517
前言在打CTF或渗透时,经常会遇到waf,普通的一句话木马便会被检测出来,打CTF还好,如果是渗透测试那么就有可能直接封IP,而且会发出报警信息。所以要掌握一句话木马的免杀。Webshell检测方式网上有很多免杀的一句话木马,但是如果不知道主流杀毒或waf的检测方式,也只是类似爆破而已,运气好了能进去,运气不好就换下一个payload。因此在此之前,先来了解一下都有哪些检测方式。日志检测使用Web...
中国菜刀php一句话,中国菜刀之写一句话木马变形
weixin_39879674的博客
04-01 928
了解一句话脚本的工作原理一句话脚本的工作原理:一句话恶意脚本分析服务端与客户端。(此处以asp脚本语言简述原理)一句话恶意脚本服务端就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 其中pass可以自己修改一句话恶意脚本客户端(即为中国菜刀主程序)用来向服务端提交控制数据...
php木马扫描工具
01-15
不错的源码 先解压出来 用D盾扫一下,基本可疑的东西都能扫出来,然后自己打开看一下
php查杀_PHP一句话木马查杀
weixin_35968523的博客
03-09 859
常见的木马基本上有如下特征1.接收外部变量常见如:$_GET,$_POST更加隐蔽的$_FILES,$_REQUEST…2.执行函数获取数据后还需执行它常见如:eval,assert,preg_replace隐藏变种:include($_POST[‘a’]);$hh = “p”.”r”.”e”.”g”.”_”.”r”.”e”.”p”.”l”.”a”.”c”.”e”;$hh(“/[discuz]/e...
木马免杀处理
最新发布
weixin_58666006的博客
09-02 1241
木马免杀,脚本型木马和二进制型木马
php木马在线查杀_网站木马监控查杀扫描 ASP木马 PHP木马上传拦截
weixin_33188115的博客
03-09 582
服务器反复被上传 ASP/PHP/ASPX... 网页木马文件,怎么办?如何监控?服务器反复出现 UDP / TCP 发包 PHP木马,怎么办?如何处理?对服务器中指定网站的 ASP/PHP/ASPX...文件进行实时监控,扫描是否包含木马或可疑文件。若监控到已知的木马文件创建或写入,能自动对此文件进行改名拦截处理,使其作废无法运行。若监控到可疑文件时,写入监控日志,由服务器管理员人工处理。例如,...
PHP木马查杀文件,木马查杀插件
weixin_30920853的博客
07-26 236
PHP木马查杀文件,木马查杀插件 将以下文件上传到网站的根目录,然后访问这个文件即可; <?php define("WEBSCAN_KEY", "4996c09effad40fcbdcdaaf1f589895a"); date_default_timezone_set('GMT'); ini_set('displa...
Linux安全之PHP木马查杀与防范
行天际的博客
06-15 1699
1.服务器自身系统安全:  使用最新的操作系统,或者最新的稳定版(比如Ubuntu的LTS),定期打好更新,系统权限合理划分,重要文件做权限安全保护。  比如:  # chattr +i /etc/passwd  # chattr +i /etc/group  # chattr +i /etc/shadow  # chattr +i /etc/gshadow  # chattr +i /etc/s...
PHP Web木马扫描器代码分享
12-19
PHP Web木马扫描器是一种用于检测和预防网站遭受恶意软件或木马攻击的工具。以下代码分享了一个简单的PHP实现,它可以帮助开发者监控指定目录下是否存在潜在的安全威胁。 首先,代码设置了HTTP响应头,指定内容类型...
一句话木马以及免杀
抚琴
01-08 3972
此篇只讨论php,其实原理是相同的,本文的思路依然适用于其他语言 WAF一般都是维护一个规则库,记录webshell常用的函数、方法等等,通过这个规则库匹配从而检测是否是木马.当匹配上对应特征时就是告警,但是规则匹配肯定会有误报,waf一直告警也很烦,所以waf一般会稳定为首要目标,也会放宽一下规则,这就是绕的基础 查杀软件我首先:D盾 『D盾_防火墙』专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器给入侵,在正常运行各类网站的情 况下,越少的功能,服务器越安全的理念而设计!限制了
不死马php如何取证_awd的防御脚本以及查杀不死马测试
weixin_39682944的博客
01-12 1120
防御脚本github上的awd通防脚本三个。一个记录敏感请求,一个记录所有的东西。一个是waf,针对sql注入的。wafjk.phpwafjk.php是用来记录敏感操作的,可以自行修改pattern,增加更多的敏感函数,只要匹配到,就会记录下来敏感操作。首先我在index.php包含了include "wafjk.php";...
免费的网站木马查杀工具
03-25
网站经常被人挂马,实在是很烦人,通过这个免费的绿色的工具,只需要提供IP或者域名就可以分析网站关键地方是否被挂马
MDecoder(查杀网站木马工具)
10-21
MDecoder(查杀网站木马工具)文件很小功能呢很大
php在线查杀扫描webshell后门 对接WEBDIR+ Api
10-04
使用PHP对接百度 WebDir在线查杀接口 作者来源:https://mubaisu.com/webdir.html 并处理判断返回结果,使在线查杀文件不在是梦想~ 无需任何扩展和依赖限制 只要你服务器可以跑php 缺点:每次查杀都需要上传文件到WebDir 并等待返回结果 速度比较慢 需要耐心等待 优点:Api 免费 并且不限制上传文件数量。 WEBDIR+采用先进的动态监测技术,结合多种引擎零规则查杀,低误报、高查杀率。 Html Gui界面使用bootstrap 自适应
批量在线清理查杀木马工具PHP版.zip
07-09
此小工具的编写主要是方便那些被挂马的站长.可以在线批量清除. 运行环境为PHP版.这么简单的小东西了没有什么好介绍的. 演示我就不放了.以防网站文件都被批量改掉了呵呵 :) 平时不用时千万不要将他放在网站上啊.切记!
webshellkill网页木马查杀工具
11-19
软件使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。 引擎特别针对,一句话后门,变量函数后门,${}执行 ,`执行, preg_replace执行,call_user_func,file_put_contents,fputs 等特殊函数 的参数进行针对性的识别,能查杀更为隐藏的后门。
PHP一句话木马查杀
收集盒 Book box
04-24 2614
常见的木马基本上有如下特征 1.接收外部变量 常见如:$_GET,$_POST 更加隐蔽的$_FILES,$_REQUEST… 2.执行函数 获取数据后还需执行它 常见如:eval,assert,preg_replace 隐藏变种: include($_POST['a']); $hh = "p"."r"."e"."g"."_"."r"."e"."p"."l".
后门查杀php专版,python版php web后门查杀小工具
weixin_42523720的博客
03-19 269
这两天帮客户做应急响应,由于是linux的系统,查找webshell的时候就自己写了个脚本,主要针对linux上webshell的查杀,也就是PHP,分享给大家,以后再慢慢完善吧。使用就只要传一个目录参数就OK了。#!/usr/bin/python# -*- coding: utf-8 -*-import osimport sysimport rerulelist = ['(\\$_(GET|PO...
linux 查杀php木马,linux上php木马、后门查杀总结
weixin_35676877的博客
03-26 460
Web Server(Nginx为例)1、为防止跨站感染,要做虚拟主机目录隔离(我是直接利用fpm建立多个程序池达到隔离效果)2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)3、path_info漏洞修正:if ($request_filename ~* (.*)\.php) {set $php_url $1;}if (!-e $php_url.php) {retur...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值