最近发现centos服务器上出现了一些木马程序,这些程序有几个明显特征:
文件名比较的杂乱无意义
还有一些会篡改现有正常的文件,在正常文件头部添加代码
木马的代码都经过加密,而且无法人为阅读。
根据以上的几个特征,可以在服务器端人工通过linux的操作命令找到木马程序文件:
#全盘搜索木马文件,并记录在/tmp/php.txt文件内 find / -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt #全盘查找后缀为.php的文件,并且该文件内容有"eval"字样 find / -name "*.php" |xargs grep "eval" |more #一般的木马文件除了会有eval还有shell_exec,passthru等特殊字样,因此可以将上面的命令拓展 find / -name "*.php" |xargs grep "shell_exec" |more find / -name "*.php" |xargs grep "passthru" |more #然后通过more命令分屏显示,在人工查看文件做审查。
另外,推荐一个可以检查wenshell的工具
https://github.com/emposha/PHP-Shell-Detector
按照说明,将两个文件上传到网站的根目录下,再去检测即可
