PHP木马攻击与防御全攻略

网站安全至关重要！本文是一份全面的PHP木马使用与防御教程，旨在帮助您识别并清除服务器上的恶意PHP脚本，防止远程控制、数据窃取等安全威胁。首先，通过`find`和`grep`命令快速定位包含`eval`、`system`等危险函数的PHP文件，并检查其修改时间和权限，警惕777权限。其次，利用Linux Malware Detect (LMD) 进行全盘扫描，高效识别已知木马特征。同时，通过编辑`php.ini`文件，禁用高危函数并关闭远程文件包含，从源头加固PHP配置。最后，通过生成文件哈希值并设置定时任务比对，实现文件完整性监控，及时发现未经授权的修改，全方位保障网站安全。

发现异常PHP文件时，应立即检查危险函数、文件属性及权限，使用安全工具扫描并加固PHP配置。首先通过find与grep命令搜索含eval、system等函数的文件；检查其修改时间与权限是否异常，避免777权限；利用Linux Malware Detect进行全盘扫描；通过禁用php.ini中的危险函数和关闭远程包含限制执行风险；最后生成文件哈希值并设置定时任务比对，实现完整性监控。

如果您在网站运行过程中发现异常文件或可疑代码，可能是由于恶意PHP脚本被上传至服务器。这类脚本常被称作“PHP木马”，可用于远程控制、数据窃取或后门植入。以下是识别与防护此类威胁的操作步骤：

本文运行环境：Dell PowerEdge R750，Ubuntu 22.04

一、检查可疑PHP文件

通过扫描Web目录下的PHP文件，查找包含危险函数的脚本，可以快速定位潜在木马文件。此类函数常用于执行系统命令或动态代码。

1、登录服务器并进入网站根目录，例如：cd /var/www/html。

2、使用find命令结合grep搜索包含常见危险函数的PHP文件：find . -name "*.php" -exec grep -l "eval\|system\|exec\|shell_exec\|passthru\|base64_decode" {} \;。

3、对输出的文件逐一检查，确认是否为合法代码调用，若无法识别来源则应隔离处理。

二、分析文件创建时间与权限

异常的文件修改时间或宽松的权限设置往往是木马植入的迹象。检查这些属性有助于判断文件的安全性。

1、查看可疑文件的详细属性：ls -la 文件名.php。

2、关注文件的创建/修改时间是否集中在非维护时段，如凌晨或节假日。

3、确认文件权限是否合理，正常PHP文件一般不应设置为777，建议使用644。

4、若发现异常时间戳或权限，可使用stat命令进一步查看详细信息：stat 文件名.php。

三、使用安全扫描工具检测

借助专业安全工具可自动化识别已知特征的PHP木马，提高排查效率。

1、安装Linux Malware Detect（LMD）：wget http://www.rfxn.com/downloads/maldetect-current.tar.gz，解压后进入目录执行安装脚本。

2、运行全盘扫描：maldet -a /var/www/。

3、查看报告结果：maldet --report REPORT_ID，其中REPORT_ID由扫描生成。

4、根据报告隔离或删除确认为恶意的文件。

四、加固PHP配置以防止执行

通过禁用危险函数和限制文件上传，可以从源头降低PHP木马的运行风险。

1、编辑php.ini文件：sudo nano /etc/php/8.1/apache2/php.ini（路径依据实际版本调整）。

2、找到disable_functions参数，在其值中添加：eval, system, exec, shell_exec, passthru, popen, proc_open, base64_decode。

3、将allow_url_fopen和allow_url_include设置为Off。

4、保存文件后重启Web服务：sudo systemctl restart apache2。

五、监控文件完整性变化

定期比对关键文件的哈希值，可及时发现未经授权的修改行为。

1、为所有原始PHP文件生成SHA256校验码：find /var/www/html -name "*.php" -exec sha256sum {} \; > /root/php_checksums.txt。

2、设置定时任务每周重新计算并对比：crontab -e，添加行：0 2 * * 0 diff /root/php_checksums.txt 。

3、当发现差异时，立即检查新增或变更的文件内容。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~