如何修复被挂木马的php网站WEB安全

如何修复被挂木马的php网站WEB安全（共9篇）由网友“江左梅宗主夫人”投稿提供，下面小编为大家整理过的如何修复被挂木马的php网站WEB安全，欢迎阅读与借鉴!

篇1：如何修复被挂木马的php网站WEB安全

有个朋友的网站长期没有人管理，而网站PR=4,于是网站被人攻陷，首页加上了上百条黑链，找我帮忙修复

看到首页密密麻麻的黑链，第一反应就是头大，最简单的办法：格式化后重装系统。但是这个服务器web/数据库都部署在同一台上，数据规模有200多G，当初安装的时候也没有分区，在线迁移数据太麻烦了，只能硬着头皮去修复问题，步骤如下

停掉web服务，免得旧仇未报，又添新恨

找到被挂马的漏洞。一定要找到，不然问题根本解决不了。服务器被挂马主要是两种原因：sql注入或者某种系统性漏洞

sql注入，和代码有关系，不好查。但是只要你的Nginx/PHP不是以root身份运行的，最多被拖库，被挂马的可能性不大

系统性漏洞，这个破坏性很大，但是都会比较著名，马上有人提供解决方案，搜索一下就能找到

所以，找到被挂马的原因是： nginx文件类型错误解析漏洞，这个漏洞很严重，php网站只要支持图片上传都会中招

修补漏洞，nginx文件类型错误解析漏洞 这个漏洞比较好修复，在nginx configure文件里面配置一下即可

搜查木马文件,到代码安装目录执行下面命令

find ./ -iname “*.php” | xargs grep -H -n “eval(base64_decode”

搜出来接近100条结果，这个结果列表很重要，木马都在里面，要一个一个文件打开验证是否是木马，如果是，马上删除掉

最后找到10个木马文件，存放在各种目录，都是php webshell，功能很齐全，用base64编码

清理现场， 去掉首页上的黑链，重启web服务

安全经验

普通服务器被挂马，不用紧张，按上述步骤进行修复

关键服务器(比如部署了用户资金/转账/交易 等服务)，被挂马之后，必须要格式化重装，因为webshell的功能实在是非常齐全，攻击者很可能替换掉系统关键程序，比如sshd,nginx等，从此大门打开，随便进出

服务器安装系统要分区，至少应该分 系统区和数据区 两部分，这样重装系统的时候可以不用迁移数据

凡是提供外部端口的服务程序（web server，gate server)，一定要用独立的用户运行，千万不要图省事，直接用root

​

篇2：五个方面何防止网站被挂木马

经常有人会问：我的网站被莫名的挂上木马，怎么能有效的预防网站被挂马?这个问题需要分具体情况来具体分析，

一、如果是自己的服务器

因为你只需要远程登录，就可以管理整个服务器，权限比较大，所以你可以把网站文件夹(除数据库外)其他全设置为只读。

如果是因为webshell的原因，你要先把找到被 入侵后植入的Shell文件，删除后再设置。但是webshell一般都是通过注入或者远程溢出拿到， 所以网站要做好防注入，服务器要勤打补丁，

二、如果是虚拟主机，购买来的空间

这种情况下你可操作的东西比较少，那么只有登陆到管理系统上设置。

现在一般的系统都有这样的功能。你可以去找下。把相关文件设置为只读!或者设置目录权限。设置为只读是防止被入侵比较好的办法之一。

三、程序方面

检查你的程序。方法是在ftp中以时间进行排序，查看你的文件是否被别人改动过，另外就是尽量过滤掉一些比较敏感的字符。

四、一旦出现木马，就需要赶紧找到，一般木马以的形式出现，或者以文件的形式在你的上传图片目录和文件目录中，仔细查找这两个地方。

五、尽快跟空间服务商联系，让他们扫描你的网站，避免一切可疑文件存在。

篇3：检测php网站是否已经被攻破的方法WEB安全

看是否有文件上传操作(POST方法)，

IPREMOVED - - [01/Mar/:06:16:48 -0600] “POST/uploads/monthly_10_/view.php HTTP/1.1” 200 36 “-” “Mozilla/5.0” IPREMOVED - - [01/Mar/2013:06:12:58 -0600] “POST/public/style_images/master/profile/blog.php HTTP/1.1” 200 36 “-” “Mozilla/5.0”

nginx默认记录的日志格式为：

access_log logs/access.log

或

access_log logs/access.logcombined;

nginx默认记录日志的位置为:

nginx安装目录/log/

篇4：检测php网站是否已经被攻破的方法WEB安全

这种情况需要有一份干净的代码，这份代码和正在使用的代码进行比较，

检测php网站是否已经被攻破的方法WEB安全

，

例如

diff -r wordpress-clean/ wordpress-compromised/ -x wp-content

上面的例子是比较wordpress-clean/ 和wordpress-comprised/两个目录，并且目录里面的wp-content/子目录不比较

篇5：检测php网站是否已经被攻破的方法WEB安全

search_dir=$(pwd)writable_dirs=$(find$search_dir-type d -perm0777)fordirin$writable_dirsdo#echo $dirfind$dir-type f -name'*.php'done

经常在jpg文件中插入php代码，因此在查询这些目录的时候也要查询jpg文件：

find wp-content/uploads -type f -iname'*.jpg'| xargsgrep-i php

注意：-iname 表示文件名不区分大小写  grep -i 也表示不区分大小写

篇6：检测php网站是否已经被攻破的方法WEB安全

经常做的是嵌入iframe标签，因此可以查看网页的源代码，并且搜索其中是否存在iframe标签，可使用如下命令：

grep -i '

对于动态生成的页面，可使用ff的 Live HTTP Headers 插件，下载到源码之后再查找是否存在iframe标签

篇7：检测php网站是否已经被攻破的方法WEB安全

2.1 查找最近发生变化的php文件

find . -type f -name '*.php' -mtime -7

-type f 表示搜索正常的一般文件 -mtime -7 表示7*24小时内修改的文件

结果可能如下:

./uploads/monthly_04_/index.php ./uploads/monthly_10_2008/index.php ./uploads/monthly_08_/template.php ./uploads/monthly_02_/index.php

2.2 查找文件中是否存在疑似代码

find . -type f -name'*.php'| xargsgrep-l“eval*(”--color

(*代表任意个空格)

find . -type f -name'*.php'| xargsgrep-l“base64_decode*(”--color find . -type f -name'*.php'| xargsgrep-l“gzinflate*(”--color find . -type f -name'*.php'| xargsgrep-l“eval*(str_rot13*(base64_decode*(”--color

注解：很多命令不支持管道传递参数，而实际上又需要这样，所以就用了xargs命令，这个命令可以用来管道传递参数；grep -l表示只包含某个字符串的文件名，如果去掉-l则会显示匹配特定字符串的行内容

几个特殊字符串的意义: eval把字符串按照php代码来执行，是最常见的php一句话木马

base64_decode() 将字符串base64解码，攻击的时候payload是base64编码，则这个函数就有用武之地了

gzinflate() 将字符串解压缩处理，攻击的时候payload用gzdeflate压缩之后，使用这个函数进行解压缩

str_rot13() 对字符串进行rot13编码

也可以使用正则表达式来搜索文件，查找可以代码：

find . -type f -name'*.php'| xargs egrep -i“(mail|fsockopen|pfsockopen|stream\_socket\_client|exec|system|passthru|eval|base64_decode)*(”

下面解释webshell常用的函数：

mail()：可用来向网站用户发送垃圾邮件

fsockopen():打开一个网络连接或者一个unix套接字连接，可用于payload发送远程请求

pfsockopen():和fsockopen()作用类似

stream_socket_client():建立一个远程连接，例子如下：

<?php$fp= stream_socket_client(“tcp://www.example.com:80”,$errno,$errstr,30);if(!$fp) {echo“$errstr ($errno)

\n”; }else{fwrite($fp,“GET / HTTP/1.0\r\nHost: www.example.com\r\nAccept: */*\r\n\r\n”);while(!feof($fp)) {echofgets($fp,1024);}fclose($fp); }?>

exec():命令执行函数

system():同exec()

passthru():同exec()

preg_replace()正则表达式由修饰符“e”修饰的时候，替换字符串在替换之前需要按照php代码执行，这种情况也需要考虑到，这种情况可采用这种以下扫搜：

find . -type f -name'*.php'| xargs egrep -i“preg_replace*\((['|\”])(.).*\2[a-z]*e[^\1]*\1*,“--color

篇8：检测php网站是否已经被攻破的方法WEB安全

是否包含了auto_prepend_file和auto_append_file，使用如下命令

find . -type f -name'\.htaccess'| xargsgrep-i auto_prepend_file find . -type f -name'\.htaccess'| xargsgrep-i auto_append_file

auto_prepend_file的作用是加载当前脚本文件之前，先加载的php脚本 auto_append_file的作用是加载当前脚本文件之后，再加载的php脚本。 如果这么修改了.htaccess文件，那么可以在访问.htaccess目录的php脚本时，加载上自己想要加载的恶意脚本 .

htaccess文件还可以被用来把访问网站的流量劫持到 的网站，

RewriteCond%{HTTP_USER_AGENT}^.*Baiduspider.*$Rewriterule^(.*)$www.hacker.com/muma.php [R=301]

将baidu爬虫的访问重定向到 的网站(包含HTTP_USER_AGENT和http关键字)

RewriteCond%{HTTP_REFERER}^.*baidu.com.*$Rewriterule^(.*)$www.hacker.com/muma.php [R=301]

将来自baidu搜索引擎的流量重定向到 的网站(包含HTTP_REFERER和http关键字) 为了查看网站是否被.htaccess修改导致流量劫持，可以在搜索.htaccess文件的时候采用如下命令：

find . -type f -name'\.htaccess'| xargsgrep-i http; find . -type f -name'\.htaccess'| xargsgrep-i HTTP_USER_AGENT; find . -type f -name'\.htaccess'| xargsgrep-i HTTP_REFERER

篇9：网站服务器一直被挂马的解决办法WEB安全

网站服务器总是被挂木马，网站的头部被注入了大量的js代码，弄了好久终于解决了，问题的根源是在配置lampp服务器的时候，为了简单方便，给网站根目录赋予了777权限，给了 可趁之机。解决问题的思路就是把权限配置合理。具体方法如下：

1.重新安装linux系统：后台选择32bit ubunt

2.下载xampp服务器： wget url

3.解压xampp： tar xvfz xampp-linux-1.7.3a.tar.gz -C /opt

备注：压缩文件用tar -zcvf ***.tar.gz 文件夹

4.启动服务器：/opt/lampp/lampp start

5.设置安全密码：/opt/lampp/lampp security

6.从其他服务器上拷贝备份文件：scp root@ip:文件位置/文件名 文件名（文件已经备份过）

7.恢复etc/extra/httpd-vhosts.conf,

8.修改extra/httpd.conf,最后一行加入httpd-vhosts.conf

9.修改数据库导入数据文件大小的限制：extra/php.ini

10.新建用户：adduser ×××

11.新建用户组：addgroup ×××

12.给已有的用户增加工作组 usermod -G groupname username

13.改变htdocs文件夹下网站所属用户 chown -R user file，以此用户名和密码来登录FTP，

14.改变网站中上传图片目录的权限为777：chmod -R 777 图片文件夹

​

★ 教你做服务级的木马后门

★ 电脑新手常见电脑显示属性问题

★ FCKeditor 建立文件夹、上传文件时“.”变“”的突破漏洞预警

★ 如何防范网站数据库入侵

★ 企业网站后台安全防范的基本方法介绍

★ 星光贴吧1.3 后台拿SHELL及修复方案漏洞预警

★ 后门750字作文

★ 微软IIS 6.0和7.5的多个漏洞及利用方法漏洞预警

★ 扩展思维新方法后台拿shell

★ 确保PHP应用程序的安全[2]WEB安全

《如何修复被挂木马的php网站WEB安全.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

搜索文档

下载本文

【如何修复被挂木马的php网站WEB安全（共9篇）】相关文章：

PHPzendstrtod函数浮点值拒绝服务漏洞及修复2023-01-14

帝国CMS 留言本多字节漏洞漏洞预警2023-04-15

由于Nginx漏洞导致的入侵事件WEB安全2023-08-17

Windows 服务器的安全防护林2023-06-15

FTP常用软件servu的安全权限处理WEB安全2022-12-10

linux当mysql以root权限登录时提权网站安全2023-08-17

网站服务器如何保障网络安全2023-09-18

计算机专业毕业实习报告2022-08-01

关于DOM xss跨站的一点点经验之谈2023-08-31

医院床位资源管理系统的设计与实现论文2023-10-01