PHP木马清理过程

最新推荐文章于 2022-02-09 00:48:51 发布
最新推荐文章于 2022-02-09 00:48:51 发布
阅读量248 收藏
点赞数
文章标签: php
原文链接:https://my.oschina.net/mellen/blog/669656
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

一个朋友网站 ,有不明文件,让我查看查看。

上去看了一下,发现多出好多文件,而且莫名奇妙出现广告页。

先删除了多余页面,以为没事,却发现广告的链接依旧,

后查找广告地址,发现 是写在.htaccess 文件里指向某个txt 作为网页打开。

于是把.htaccess文件给禁止掉。

=========================


apache禁止后缀的方法:

这里就只演示下怎么禁止php执行,其他的稍微简单改了就好.在你要禁止的目录下新建个.htaccess,内容为:
 代码如下     复制代码

<FilesMatch ".(php.|php3.|php4.|php5.)">
Order Allow,Deny
Deny from all
</FilesMatch>

或者

在需要的目录下建立一个 .htaccess 文件并在里面写上一行
 代码如下     复制代码

php_flag engine off{

=============================

可是又发现几天陆续出现大量文件上传上来。

于是禁止一些目录上传。但是有些目录还是大量的上传,看来这个黑客不死心。

想着 这个黑客搞上传文件,一定是通过某个木马程序上传的,得找出这个木马,

既然他能上传文件,那么应该会用到文件读写函数,于是查找

grep -color -i -r -n "fwrite" /opt/FTP/root

果然发现有个木马文件,里面是完全的操作服务上传文件。。干掉以后,才系统安稳了。

=====================================

 

 

 

 

 

 

转载于:https://my.oschina.net/mellen/blog/669656

weixin_34290000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网页木马代码清除工具
06-04
使用说明: 1 选择要清理的目录,该工具可查找指定目录下(包括子目录)所有符合条件的文件。 2 指定匹配正则表达式,你可以直接复制木马代码,如“<iframe src=http://xxx.mmma.biz/ps.htm width=0 height=0></iframe>”。或使用正则来匹配各种样本。 3 替换表达式一般为空,也可以填写你想要替换的内容。 4 操作的文件类型:你要操作的文件扩展名,用|隔开,注意前面不要漏了"."符号。 5 测试文本:对你设定的正则表达式的测试。 建议指定正则表达式后将网页样本复制到测试文本框中进行测试,确认无误后点击“开始清理”,即可执行清理工作了。 本工具需要.net Framework 2.0支持 作者blog:http://blog.orgact.com/leisang/archive/2007/11/09/00000002.html 参考资料: http://www.putiji.net/?p=124
批量在线清理查杀木马工具PHP版.zip
07-09
此小工具的编写主要是方便那些被挂马的站长....运行环境为PHP版.这么简单的小东西了没有什么好介绍的. 演示我就不放了.以防网站文件都被批量改掉了呵呵 :) 平时不用时千万不要将他放在网站上啊.切记!
php木马删除,PHP木马 怎么破
weixin_39753211的博客
04-12 316
该楼层疑似违规已被系统折叠隐藏此楼查看此楼function pnl($yocgpeq, $psbrigv){$ehvezeiul = ''; for($i=0; $i < strlen($yocgpeq); $i++){$ehvezeiul .= isset($psbrigv[$yocgpeq[$i]]) ? $psbrigv[$yocgpeq[$i]] : $yocgpeq[$i];}$...
PHP木马的判断和查找清除
weixin_33943836的博客
09-18 114
最近出来一种木马,这个木马是以网页形式出现的,主要出现在PHP代码的网站上面,他的主要现象是服务器的网络利用率很高,把你的带宽给耗尽导致服务器无法连接,从流量图上看所有的流量都是从服务器上发出去的,在IIS管理器里面把PHP组建禁止掉,服务器马上恢复正常了,从这里可以看出绝对是中PHP木马了.如下图关闭组建. 下载 (43.41 KB) 2011-12-20 15:33 ...
记一次PHP木马清理事件
一只烦恼的猪
02-09 3628
代码后门一般为以下4种: 1、以特殊代码文件存在,例如一句话木马; 2、嵌入在正常执行逻辑中的可执行代码; 3、通过可接收任意参数的代码,将参数写入到固定的可访问文件中,通过浏览器请求执行; 4、通过遗留特殊的方法,绕过权限认证或通过无权限控制的方法来控制系统。
php网站被挂木马如何修复
...
09-21 1859
修复步骤     停掉web服务,免得旧仇未报,又添新恨     找到被挂马的漏洞。一定要找到,不然问题根本解决不了。服务器被挂马主要是两种原因:sql注入或者某种系统性漏洞         sql注入,和代码有关系,不好查。但是只要你的Nginx/PHP不是以root身份运行的,最多被拖库,被挂马的可能性不大         系统性漏洞,这个破坏性很大,但是都会比较著名,马上有人
网站木马清理专家 V1.2 全功能免费版
02-22
网站木马清理专家 V1.2 全功能免费版 该版本拥有 网站木马清理专家 全部功能;现在免费开放使用! 说明:部份用户下载后提示有病毒,请大家放心使用该软件,没有设置任何后门;在杀毒软件上设置为例外即可!另外...
基于PHP的CMS木马扫描器源码.zip
最新发布
08-13
PHP木马扫描器通常会检查常见的恶意活动迹象,如异常的文件名、可疑的函数调用、加密或混淆的代码等。 **详细知识点:** 1. **恶意软件检测**: 木马扫描器通过匹配已知的恶意代码模式、可疑行为和签名来检测潜在的...
php后门木马扫面工具
04-09
PHP后门木马扫描工具是一种专门用于检测和识别PHP源代码中潜在安全威胁的重要软件。在Web开发中,尤其是PHP编程环境下,后门木马是一个常见的安全问题,它们可能被黑客植入,用来非法控制服务器、窃取数据或者执行...
基于PHP的batch-replace批量替换程序(替换木马)源码.zip
07-29
在特定场景下,如网站安全维护或数据清理,这种工具尤其有用,因为它能够帮助用户快速查找并替换文件中的特定字符串,例如可能存在的恶意代码(此处以“木马”为例)。 【描述解析】 描述与标题相同,进一步确认了...
PHP清除网页病毒的方法
echocdzh的博客
12-14 560
<?php Class clear_virus{ public $index ='b.html'; public $filepath =array('b.html'); public $virus_type =";"; function open_file(){ if(file_exists($this->index)){ $tmp =file_get_contents($this->index)
php木马攻击,如何遏制PHP木马攻击
weixin_32836671的博客
03-09 294
大家都知道,在网络上冲浪必须要经受住病毒,木马的攻击,保护我们干净的冲浪环境。在这里,大家将会了解到PHP木马攻击的防御措施,帮助我们净化网络环境。技巧分享 PHP性能优化PHP函数isset()只能用于变量迅速学会PHP加密解密技巧PHP函数fwrite安全用于二进制文件介绍几种PHP获取POST数据技巧1、防止跳出web目录PHP木马攻击的防御首先修改httpd.conf,如果你只允许你的ph...
微擎上传php木马,龙兵智能名片上传漏洞修复教程,独立版和微擎版都有此漏洞...
weixin_39585795的博客
03-11 838
今日和代码族群主在群里闲聊,群友聊到了一个关于后门的事情,群主当时在群里提了部分程序官方就自带有漏洞,列举了一部分程序,里面有我正在使用的龙兵名片系统,于是和群主进行了沟通,了解漏洞的原理以及修复方法,于是想到了记录在这里,一方面作为自己的笔记,另一方面如果有网友也遇到了类似的问题,那么可以作为参考去解决。具体的漏洞为龙兵的附件上传功能,可以直接上传PHP文件,可以将php木马直接上传到服务器,然...
渗透测试常见问题以及方法
热门推荐
xk的博客
10-24 1万+
渗透测试常见问题以及方法。 面试过安全的、渗透的、安全测试的安全运维的、安全服务的,其实来来回回基本问题就是那么多,更多的是对安全的理解深度以及新型问题的应对和处理能力。 借道哥的一句话:我们不是要做一个能够解决问题的方案,而是要做一个能够‘漂亮的’解决问题的方案 每一个问题我们优雅的对待和处理,就像写婀娜多姿的code一样,它们给你反馈的result也会让你满意。 好些知识点也借鉴了一些...
微擎小程序PHP,微擎配置小程序教程
weixin_33065899的博客
03-11 2887
微擎小程序通用配置图文教程,教会你怎么配置微擎小程序!1、去源码下载微擎小程序,这里以官网小程序为列,教大家如何配置微擎小程序。2、将对应的官网小程序后端文件夹hc_step上传到微擎的addons目录下3、在微擎安装好官网小程序。4、重要步骤,要去微信小程序中查看自己微信小程序的原始ID、AppID、AppSercert!!重要原因是:我安装了小程序,但是并没有配置小程序(始ID、AppID、A...
php网站上传木马,php一句话木马怎么上传
weixin_29955195的博客
03-09 2384
一句话木马上传常见的几种方法:1、利用00截断,brupsuite上传利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0X00上传截断漏洞。假设文件的上传路径为http://xx.xx.xx.xx/upfiles/lubr.php.jpg,通过Burpsuite抓包截断将lubr.php后面的“.”换成“0X00”。在上传的时候,当文件系统读到”0X00″时,会认为文件已经结束...
微擎mc.mod.php,微擎漏洞修复
weixin_39863759的博客
03-28 520
微擎的几个漏洞和解决办法,主要对sql的注入微擎的漏洞1,\web\source\extension\menu.ctl.php查找if(checksubmit('submit'))后面添加$_GPC['id']=intval($_GPC['id']);2,framework\model\mc.mod.php查找pdo_query($sql);在前面添加$sql=mysql_real_...
微擎上传php木马,微擎1.5.4任意用户删除漏洞display.ctrl.php
weixin_36334284的博客
03-11 425
标题:微擎1.5.4任意用户删除漏洞描述:代码权限控制存在漏洞导致攻击者可任意删除用户。文件:/web/source/founder/display.ctrl.php漏洞修复方法:找到改行代码:$founders = explode(',', $_W['config']['setting']['founder']);在改行代码后面增加一段代码:$identity = uni_permission(...
PHP木马怎么入侵网站
03-13
我可以回答这个问题。PHP木马是一种常见的黑客攻击手段,它可以通过漏洞或者弱密码等方式入侵网站。黑客可以通过PHP木马获取网站的敏感信息,或者控制网站进行恶意操作。为了防止PHP木马入侵,网站管理员需要及时更新网站的软件和插件,同时加强密码安全和访问控制等措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值