我的共享主机被黑了,我需要检查我的PHP脚本的后门。 我现在在专用的服务器上,所以我可以使用SSH来运行脚本。 有没有好的脚本来完成这个任务?
这将是一个艰难的。 我怀疑有脚本检查Php后门,或者即使它能清除所有的。 如果您可以使用已知的良好备份进行恢复,那将是最好的。
更改您的密码,包括数据库的密码。 审计主机。
ClamAV在这方面做得相当不错。 它不只是寻找Windows病毒。 取决于你的环境如下:
Plesk:freshclam; clamscan -ir / home / httpd / vhosts / * / httpdocs / | tee〜/ possible.phpshells
cPanel:freshclam; clamscan -ir / home / / public_html / | tee〜/ possible.phpshells
直到我发现蛤蜊做得很好,我才使用下面的方法。 有太多的这些跟上:
find / home / * / public_html / -size -200k -type f -print0 | xargs -0 grep -iE“r57shell | c99shell | g00nshell | EgY_SpIdEr | egy_spider | phpjackal”| uniq -c | sort -u | cut -d“:”-f1 | awk'{print $ 2}'| uniq> /root/possible.phpshells
maldet可能会运行良好。 它可能会检测到clamscan没有的东西。 例如,它拿起常见的'eval(base64_decode)模式。
但是,我不相信来自该主机的任何代码。 从备份恢复真的是你最好的select。
如果任何人仍然在寻找答案,那么有一个很好的免费PHP实用程序,您可以在您的服务器上运行以查找base64编码的string以及其他几个常见的shellstring。
该实用程序被称为PHP壳牌检测器 。