Linuxでは、コマンドを使用してトロイの木馬ファイルを検索し、コードのインストールディレクトリに移動して次のコマンドを実行できます
コードは次のとおりです コードをコピーします
find ./ -iname "*.php" xargs grep -H -n "eval(base64_decode"
)
100 件近くの結果が見つかりました。このリストにはすべてトロイの木馬が含まれているため、ファイルを 1 つずつ開いて、トロイの木馬であるかどうかを確認する必要があります。
最終的に、さまざまなディレクトリに保存されている 10 個のトロイの木馬ファイルが見つかりました。これらはすべて PHP WebShell であり、完全に機能し、base64 でエンコードされていますWindows でディレクトリを探している場合は、Windows ファイル検索を使用して、eval または最近変更されたファイルを検索します。dedecms の場合は、最新の dedecms 脆弱性を確認してパッチを適用する必要があります。
これは、サイトのルート ディレクトリに直接配置できる PHP トロイの木馬検索ツールです
/**************PHP Web トロイの木馬スキャナー***********************/
/* [+] 作者: alibaba */
/* [+] QQ: 1499281192 * www.111cn.net/
/* [+] MSN: weeming21@hotmail.com */
/* [+] 初出: t00ls.net、転載の際はt00lsと明記してください */
/* [+] バージョン: v1.0 */
/* [+] 機能: Web バージョン php トロイの木馬スキャン ツール*/
/* [+] 注: スキャンされたファイルは必ずしもバックドアであるとは限りません。 */
/* オリジナル文書をご自身で判断、検討、比較してください。 */
/* スキャンされたファイルがバックドアかどうかわからない場合は、*/
/* 分析のためにこのファイルを私に送っていただいても構いません。 */
/************************************************* *****/
ob_start();
set_time_limit(0);
$username = "t00ls" //ユーザー名を設定します
;
$password = "t00ls" //パスワードを設定します;
$md5 = md5(md5($username).md5($password));$version = "PHP Web トロイの木馬スキャナー v1.0";
PHP Web トロイの木馬スキャナー
$realpath = realpath('./');
$selfpath = $_SERVER['PHP_SELF'];
$selfpath = substr($selfpath, 0, strrpos($selfpath,'/'));
define('REALPATH', str_replace('//','/',str_replace('','/',substr($realpath, 0, strlen($realpath) - strlen($selfpath)))));
define('MYFILE', ベース名(__FILE__));
define('MYPATH', str_replace('', '/', dirname(__FILE__)).'/');
define('MYFULLPATH', str_replace('', '/', (__FILE__)));
define('HOST', "http://".$_SERVER['HTTP_HOST']);
?>
<スタイル>
本文{マージン:0px;}
body,td{font: 12px Arial,Tahoma;line-height: 16px;}
{color: #00f;text-decoration:underline;}
a:hover{color: #f00;text-decoration:none;}
.alt1 td{border-top:1px ソリッド #fff;border-bottom:1px ソリッド #ddd;background:#f1f1f1;padding:5px 10px 5px 5px;}
.alt2 td{border-top:1px ソリッド #fff;border-bottom:1px ソリッド #ddd;background:#f9f9f9;padding:5px 10px 5px 5px;}
.focus td{border-top:1px ソリッド #fff;border-bottom:1px ソリッド #ddd;background:#ffffaa;padding:5px 10px 5px 5px;}
.head td{border-top:1px ソリッド #fff;border-bottom:1px ソリッド #ddd;background:#e9e9e9;padding:5px 10px 5px 5px;font-weight:bold;}
.head td span{font-weight:normal;}
if(!(isset($_COOKIE['t00ls']) && $_COOKIE['t00ls'] == $md5) && !(isset($_POST['ユーザー名']) && isset($_POST['パスワード' ]) && (md5(md5($_POST['ユーザー名']).md5($_POST['パスワード']))==$md5)))
{
echo '
}
その他
{
$dir = isset($_POST['パス'])?$_POST['パス']:MYPATH;
$dir = substr($dir,-1)!="/"?$dir."/":$dir;
?>
if(isset($_POST['btnScan']))
{
$start=mktime();
$is_user = array();
$is_ext = "";
$list = "";
if(trim($setting['user'])!="")
{
$is_user =explode("|",$setting['user']);
if(count($is_user)>0)
{
foreach($is_user as $key=>$value)
$is_user[$key]=trim(str_replace("?","(.)",$value));
$is_ext = "(.".implode("($|.))|(.",$is_user)."($|.))";
}
}
if($setting['hta']==1)
{
$is_hta=1;
$is_ext = strlen($is_ext)>0?$is_ext."|":$is_ext;
$is_ext.="(^.htaccess$)";
}
if($setting['all']==1 || (strlen($is_ext)==0 && $setting['hta']==0))
{
$is_ext="(.+)";
}
$php_code = getCode();
if(!is_readable($dir))
$dir = MYPATH;
$count=$scanned=0;
scan($dir,$is_ext);
$end=mktime();
$spent = ($end - $start);
?>
<表幅="100%" ボーダー="0" セルスペース="0" セルパディング="0">
表>
}
}
}
ob_flush();
?>
ボディ>