查出Linux下网站哪些文件被挂马的办法

踏浪行歌

php后门木马常用的函数大致上可分为四种类型：

1. 1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
   
2. 2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13
   
3. 3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
   
4. 4. .htaccess: SetHandler, auto_prepend_file, auto_append_file

复制代码

二  想找一个 关键词是“hellow word” 在哪些文件中有，我们用grep命令
+ @6 [" j% S6 p

1. grep –color -i -r -n “hellow word”  /data/www/

复制代码

& ?& T. v* R& @4 s& P! e这样就能搜索出来 文件中包含关键词的文件
–color是关键词标红
8 I: I0 z4 N- ^. [-i是不区分大小写
: U& k. r- |" J8 |-r是包含子目录的搜索
-d skip忽略子目录
可以用以上命令查找网站项目里的带有挂马的文件

( i% d# S) G- `, X6 L三 .两个查后门的实用linux命令：
8 L  m$ l; C0 O

1. find /data/web/website/ -iname *.php -mtime -35 找出/data/web/website/目录下 35分钟前新建的php
   
2. find /data/web/website/ -name “*.php” | xargs grep “eval($_POST[” 找出/data/web/website/ 里面源码包含eval($_POST[的php文件

复制代码

四  例如  注入漏洞eval(base64_decode
2 T7 @. P8 V+ n9 y  f$ ?

1. grep –color -i -r -n “eval”  /data/www/   找出来对比以前正常的代码，看是否正常。然后用stat查看这个木马文件的修改时间，最后去寻找WEB日志，找

复制代码

出木马从哪里进来的
五：实用查找PHP木马命令：
5 ?" \. O0 e5 X) n) Q4 _' s查找PHP木马
" i# H) @/ N4 E7 r0 S: s. {

1. # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
   , W6 b$ m  g, L* O
2. # grep -r --include=*.php  '[^a-z]eval($_POST' . > /tmp/eval.txt
   
3. # grep -r --include=*.php  'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt
   
4. # find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
   # h8 u  k5 I) g) I6 _" S
5. 
   
6. # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
   
7. # grep -r --include=*.php  '[^a-z]eval($_POST' . > /tmp/eval.txt
   
8. # grep -r --include=*.php  'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt
   
9. # find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq

复制代码

查找最近一天被修改的PHP文件

1. #   find -mtime -1 -type f -name \*.php
   
2. #   find -mtime -1 -type f -name \*.php

复制代码

修改网站的权限

1. # find -type f -name \*.php -exec chmod 444 {} \;
   
2. # find ./ -type d -exec chmod 555{} \;
   
3. # find -type f -name \*.php -exec chmod 444 {} \;
   
4. # find ./ -type d -exec chmod 555{} \;

复制代码

假设最后更新是10天前我们可以查找10天内生成的可以php文件:
; g& L" l  Y% g$ A! ^5 j

1. find /var/www/ -name “*.php” -mtime -10

复制代码

也可以通过关键字的形式查找 常见的木马常用代码函数 eval,shell_exec,passthru,popen,system

1. #find /var/www/ -name “*.php” |xargs grep “eval” |more
   * Z4 r" V& M! `% R& C5 e8 B
2. #find /var/www/ -name “*.php” |xargs grep “shell_exec” |more
   
3. #find /var/www/ -name “*.php” |xargs grep “passthru” |more
   
4. #find /var/www/ -name “*.php” |xargs grep “eval” |more
   
5. #find /var/www/ -name “*.php” |xargs grep “shell_exec” |more
   ) B$ G; Z5 W( c1 ?! `  m: S/ I
6. #find /var/www/ -name “*.php” |xargs grep “passthru” |more

复制代码

还有查看access.log 当然前提是你网站的所有php文件不是很多的情况下
一句话查找PHP木马
$ v* H+ U8 ^/ x- d: e; m

1. # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt
   
2. # grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt
   
3. # grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt
   
4. # find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq
   
5. # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt
   ! w9 t+ T/ b5 N( m; a! y2 Y8 b
6. # grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt
   
7. # grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt
   
8. # find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq

复制代码

查找最近一天被修改的PHP文件
; T4 L! T& ~( b2 [4 G2 N$ u3 v

1. # find -mtime -1 -type f -name *.php

复制代码

六 以下其实是多余的操作了其实，但是还是有值得看的地方

. r' l7 c" g9 Q& B' U检查代码。
* J5 ?( C, i6 I+ P# R9 N7 D
2 j; S# d3 Y3 E2 o, {7 X肯定不是一个文件一个文件的检查，Linxu有强悍的命令
grep ‘eval’ * -R 全盘搜索当前目录所有文件（包含子目录）中带有eval的文件，这条可以快速查找到被挂马的文件。
+ z) p9 ~- u- ?$ l- W关于eval，请自行google一句话php代码。

2，查看日志。
不到这个时候不知道日志的可贵啊。
还是以grep命令为主。
* l. P" b! J/ a6 i' e, w% a' \7 ^思路：负责的站点是Linux，只开了2个端口，一个22和80，外部的执行命令是由从80端口进来，Selinux报httpd访问/boot文件，确认被挂马。而所有的命令执行必须POST提交给执行的文件。所以，查找日志中所有的POST记录。
& k/ @* o% D! rcat access_log_20120823.log | grep ‘POST’ | grep -v ‘反向查找’ | less，通过grep -v排除正常post，egrep也支持正则，但是太复杂了，看懂不知道怎么运用。
) I: r' W. z& R, F+ M1 @1 r
（这里不建议用cat，用tail可以追加一个文件来看）
4 Q8 O  T* Y, Y$ z! g5 H  C
4 i# h  ~0 `# i/ n这可以防患于未然，防止不知道哪天又被人黑进来了。每天看一眼日志。
! Q$ V& R- \- M& R
3，对于网页目录，只给apache用户rx权限，不要给w权限，目录设置要加上rx，不要给w，个别文件除外。所以，配合2使用，Linux下可以快速过滤刷选出来不规则的POST请求。
$ s% N: k) [# a2 ^! H综合1，2其实就可以快速查找被黑的页面，被修改的文件替换干净的代码。
# X, M1 y, a0 L, J3 ^' y6 x3 r6 \3 d: k2 G2 B
6 ?& L( O* @& K1 ^- g
) m" S, w8 N0 U- H* m
; N' ~8 ?7 B' x