PHP木马攻击与防御全攻略

你在学习文章相关的知识吗？本文《PHP木马使用与防御教程》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

发现异常PHP文件时，应立即检查危险函数、文件属性及权限，使用安全工具扫描并加固PHP配置。首先通过find与grep命令搜索含eval、system等函数的文件；检查其修改时间与权限是否异常，避免777权限；利用Linux Malware Detect进行全盘扫描；通过禁用php.ini中的危险函数和关闭远程包含限制执行风险；最后生成文件哈希值并设置定时任务比对，实现完整性监控。

如果您在网站运行过程中发现异常文件或可疑代码，可能是由于恶意PHP脚本被上传至服务器。这类脚本常被称作“PHP木马”，可用于远程控制、数据窃取或后门植入。以下是识别与防护此类威胁的操作步骤：

本文运行环境：Dell PowerEdge R750，Ubuntu 22.04

一、检查可疑PHP文件

通过扫描Web目录下的PHP文件，查找包含危险函数的脚本，可以快速定位潜在木马文件。此类函数常用于执行系统命令或动态代码。

1、登录服务器并进入网站根目录，例如：cd /var/www/html。

2、使用find命令结合grep搜索包含常见危险函数的PHP文件：find . -name "*.php" -exec grep -l "eval\|system\|exec\|shell_exec\|passthru\|base64_decode" {} \;。

3、对输出的文件逐一检查，确认是否为合法代码调用，若无法识别来源则应隔离处理。

二、分析文件创建时间与权限

异常的文件修改时间或宽松的权限设置往往是木马植入的迹象。检查这些属性有助于判断文件的安全性。

1、查看可疑文件的详细属性：ls -la 文件名.php。

2、关注文件的创建/修改时间是否集中在非维护时段，如凌晨或节假日。

3、确认文件权限是否合理，正常PHP文件一般不应设置为777，建议使用644。

4、若发现异常时间戳或权限，可使用stat命令进一步查看详细信息：stat 文件名.php。

三、使用安全扫描工具检测

借助专业安全工具可自动化识别已知特征的PHP木马，提高排查效率。

1、安装Linux Malware Detect（LMD）：wget http://www.rfxn.com/downloads/maldetect-current.tar.gz，解压后进入目录执行安装脚本。

2、运行全盘扫描：maldet -a /var/www/。

3、查看报告结果：maldet --report REPORT_ID，其中REPORT_ID由扫描生成。

4、根据报告隔离或删除确认为恶意的文件。

四、加固PHP配置以防止执行

通过禁用危险函数和限制文件上传，可以从源头降低PHP木马的运行风险。

1、编辑php.ini文件：sudo nano /etc/php/8.1/apache2/php.ini（路径依据实际版本调整）。

2、找到disable_functions参数，在其值中添加：eval, system, exec, shell_exec, passthru, popen, proc_open, base64_decode。

3、将allow_url_fopen和allow_url_include设置为Off。

4、保存文件后重启Web服务：sudo systemctl restart apache2。

五、监控文件完整性变化

定期比对关键文件的哈希值，可及时发现未经授权的修改行为。

1、为所有原始PHP文件生成SHA256校验码：find /var/www/html -name "*.php" -exec sha256sum {} \; > /root/php_checksums.txt。

2、设置定时任务每周重新计算并对比：crontab -e，添加行：0 2 * * 0 diff /root/php_checksums.txt 。

3、当发现差异时，立即检查新增或变更的文件内容。

今天关于《PHP木马攻击与防御全攻略》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！