chaihongjun.me

linux服务器查杀木马方法

最近发现centos服务器上出现了一些木马程序,这些程序有几个明显特征:

  1. 文件名比较的杂乱无意义

  2. 还有一些会篡改现有正常的文件,在正常文件头部添加代码

  3. 木马的代码都经过加密,而且无法人为阅读。

根据以上的几个特征,可以在服务器端人工通过linux的操作命令找到木马程序文件:

#全盘搜索木马文件,并记录在/tmp/php.txt文件内
find / -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt
#全盘查找后缀为.php的文件,并且该文件内容有"eval"字样
find / -name "*.php" |xargs grep "eval" |more
#一般的木马文件除了会有eval还有shell_exec,passthru等特殊字样,因此可以将上面的命令拓展
find / -name "*.php" |xargs grep "shell_exec" |more
find / -name "*.php" |xargs grep "passthru" |more
#然后通过more命令分屏显示,在人工查看文件做审查。

另外,推荐一个可以检查wenshell的工具

https://github.com/emposha/PHP-Shell-Detector

按照说明,将两个文件上传到网站的根目录下,再去检测即可


知识共享许可协议本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。作者:chaihongjun»