linux服务器查杀,Linux服务器PHP后门查杀

shell脚本一句话查找PHP一句话木马

# find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt

# grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt

# grep -r --include=*.php 'file_put_contents(.*$_POST[.*]);' . > /tmp/file_put_contents.txt

# find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decoolcode|eval(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq

python脚本查找PHP一句话木马(注意缩进)

#!/usr/bin/python

# -*- coding: utf- -*-

#blog:www.sinesafe.com

import os

import sys

import re

rulelist = [

'(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))',

'(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))',

'eval\(base64_decode\(',

'(eval\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

'(assert\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

'(\$[\w_]{0,15}\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))',

'(wscript\.shell)',

'(gethostbyname\()',

'(cmd\.exe)',

'(shell\.application)',

'(documents\s+and\s+settings)',

'(system32)',

'(serv-u)',

'(提权)',

'(phpspy)',

'(后门)',

'(webshell)',

'(Program\s+Files)'

]

def Scan(path):

for root,dirs,files in os.walk(path):

for filespath in files:

isover = False

if '.' in filespath:

ext = filespath[(filespath.rindex('.')+):]

if ext=='php':

file= open(os.path.join(root,filespath))

filestr = file.read()

file.close()

for rule in rulelist:

result = re.compile(rule).findall(filestr)

if result:

print '文件:'+os.path.join(root,filespath)

print '恶意代码:'+str(result[])

print '\n\n'

break

if os.path.lexists(sys.argv[]):

print('\n\n开始扫描:'+sys.argv[])

print(' 可疑文件 ')

print('########################################')

Scan(sys.argv[])

print('提示:扫描完成-- O(∩_∩)O哈哈~')

else:

print '提示:指定的扫描目录不存在--- 我靠( \'o′)!!凸'

配合find命令查找查找最近一天被修改的PHP文件

#   find -mtime -1 -type f -name  *.php

查找最近2小时以内被修改的文件(具有执行权限)

find / -mmin -2 -type f -perm /a=x

修改网站的权限

# find -type f -name *.php -exec chmod 444 {} ;

# find ./ -type d -exec chmod 555{} ;

Linux系统木马后门查杀方法详解

木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心.以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一.Web Server(以Nginx为例) 1.为防止跨 ...

linux下python版webshell后门查杀工具

使用说明: 1.查杀指定路径:python webshell.py 路径 2.按时间查找文件:python webshell.py 路径 “2013-09-28 00:00:00″ # -*- cod ...

Linux进程管理:查杀进程

一.查看进程 Linux下显示系统进程的命令ps,最常用的有ps -ef 和ps aux.这两个到底有什么区别呢? 两者没太大差别,讨论这个问题,要追溯到Unix系统中的两种风格,System V风格 ...

Linux服务器后门自动化查杀教程

一.说明 如果出现文件上传漏洞和命令执行类漏洞(包括命令注入.缓冲区溢出.反序列化等)都会让人担心,系统是否系统已被上传webshell甚至植入木马程序.如果依靠人工排查,一是工作量大二是需要一定程度 ...

记一次Linux服务器上查杀木马经历

开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

linux服务器上使用find查杀webshell木马方法

本文转自:http://ju.outofmemory.cn/entry/256317 只要从事互联网web开发的,都会碰上web站点被入侵的情况.这里我把查杀的一些方法采用随记的形式记录一下,一是方便 ...

Linux服务器杀马(转)

开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

clamav完整查杀linux病毒实战(转)

开篇前言 Linux服务器一直给我们的印象是安全.稳定.可靠,性能卓越.由于一来Linux本身的安全机制,Linux上的病毒.木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux ...

随机推荐

11. KVC And KVO

1. KVC And KVO  的认识 KVC/KVO是观察者模式的一种实现  KVC全称是Key-value coding,翻译成键值编码.顾名思义,在某种程度上跟map的关系匪浅.它提供了一种使用 ...

10034 - Freckles 克鲁斯克尔最小生成树!~

/* 10034 - Freckles 克鲁斯克尔最小生成树!- */ #include #include #include

Linux学习--------二

Linux基础知识 Linux文件系统为一个倒转的单根树状结构文件系统的根为"/" 文件系统严格区分大小写路径 使用"/"分割(windows使用"\ ...

zepto-selector.js简单分析

zepto 的selector模块是对jquery扩充选择器(jquery-selector-extensions)的部分实现.比如这样的选择方法:$('div:first') 和 el.is(':v ...

Winform 基础知识 之文件夹操作

using System.IO; /// /// 删除文件夹下所有文件 /// ///

Liqn基础

Linq:语言集成查询 (LINQ) 是 Visual Studio 2008 中引入的一组功能,可为 C# 和 Visual Basic 语言语法提供强大的查询功能. LINQ 引入了标准易学的数据 ...

IOC容器初始化——BeanDefinition的Resource定位

以编程的方式使用DefaultListableBeanFactory时,首先定义一个Resource来定位容器使用的BeanDefinition.这是使用的是ClassPathResource,意味着 ...

基于.netcore 开发的轻量Rpc框架

Rpc原理详解 博客上已经有人解释的很详细了,我就不在解释了.传送门 项目简介 项目是依赖于.net core2.0版本,内部都是依靠IOC来实现的,方便做自定义扩展.底层的通信是采用socket,s ...

js+jq实现图片预览,支持到ie9+ff+chrome

你可能感兴趣的:(linux服务器查杀)