コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > バックエンド開発 > PHPチュートリアル > トロイの木馬が存在するPHP Webサイトの修復方法まとめ、PHPトロイの木馬のまとめ_PHPチュートリアル

トロイの木馬が存在するPHP Webサイトの修復方法まとめ、PHPトロイの木馬のまとめ_PHPチュートリアル

WBOY
リリース: 2016-07-13 10:15:20
オリジナル
1537 人が閲覧しました

トロイの木馬に感染したPHP Webサイトの修復方法のまとめ、PHPトロイの木馬のまとめ

Linuxでは、コマンドを使用してトロイの木馬ファイルを検索し、コードのインストールディレクトリに移動して次のコマンドを実行できます

コードは次のとおりです コードをコピーします
find ./ -iname "*.php" xargs grep -H -n "eval(base64_decode"
)

100 件近くの結果が見つかりました。このリストにはすべてトロイの木馬が含まれているため、ファイルを 1 つずつ開いて、トロイの木馬であるかどうかを確認する必要があります。

最終的に、さまざまなディレクトリに保存されている 10 個のトロイの木馬ファイルが見つかりました。これらはすべて PHP WebShell であり、完全に機能し、base64 でエンコードされています

Windows でディレクトリを探している場合は、Windows ファイル検索を使用して、eval または最近変更されたファイルを検索します。dedecms の場合は、最新の dedecms 脆弱性を確認してパッチを適用する必要があります。

これは、サイトのルート ディレクトリに直接配置できる PHP トロイの木馬検索ツールです

コードは次のとおりです コードをコピーします

/**************PHP Web トロイの木馬スキャナー***********************/

/* [+] 作者: alibaba */

/* [+] QQ: 1499281192 * www.111cn.net/

/* [+] MSN: weeming21@hotmail.com */

/* [+] 初出: t00ls.net、転載の際はt00lsと明記してください */

/* [+] バージョン: v1.0 */

/* [+] 機能: Web バージョン php トロイの木馬スキャン ツール*/

/* [+] 注: スキャンされたファイルは必ずしもバックドアであるとは限りません。 */

/* オリジナル文書をご自身で判断、検討、比較してください。 */

/* スキャンされたファイルがバックドアかどうかわからない場合は、*/

/* 分析のためにこのファイルを私に送っていただいても構いません。 */

/************************************************* *****/

ob_start();

set_time_limit(0);

$username = "t00ls" //ユーザー名を設定します

;

$password = "t00ls" //パスワードを設定します

;

$md5 = md5(md5($username).md5($password));

$version = "PHP Web トロイの木馬スキャナー v1.0";

PHP Web トロイの木馬スキャナー

$realpath = realpath('./');

$selfpath = $_SERVER['PHP_SELF'];

$selfpath = substr($selfpath, 0, strrpos($selfpath,'/'));

define('REALPATH', str_replace('//','/',str_replace('','/',substr($realpath, 0, strlen($realpath) - strlen($selfpath)))));

define('MYFILE', ベース名(__FILE__));

define('MYPATH', str_replace('', '/', dirname(__FILE__)).'/');

define('MYFULLPATH', str_replace('', '/', (__FILE__)));

define('HOST', "http://".$_SERVER['HTTP_HOST']);

?>

<?php echo $version?>

<スタイル>

本文{マージン:0px;}

body,td{font: 12px Arial,Tahoma;line-height: 16px;}

{color: #00f;text-decoration:underline;}

a:hover{color: #f00;text-decoration:none;}

.alt1 td{border-top:1px ソリッド #fff;border-bottom:1px ソリッド #ddd;background:#f1f1f1;padding:5px 10px 5px 5px;}

.alt2 td{border-top:1px ソリッド #fff;border-bottom:1px ソリッド #ddd;background:#f9f9f9;padding:5px 10px 5px 5px;}

.focus td{border-top:1px ソリッド #fff;border-bottom:1px ソリッド #ddd;background:#ffffaa;padding:5px 10px 5px 5px;}

.head td{border-top:1px ソリッド #fff;border-bottom:1px ソリッド #ddd;background:#e9e9e9;padding:5px 10px 5px 5px;font-weight:bold;}

.head td span{font-weight:normal;}

if(!(isset($_COOKIE['t00ls']) && $_COOKIE['t00ls'] == $md5) && !(isset($_POST['ユーザー名']) && isset($_POST['パスワード' ]) && (md5(md5($_POST['ユーザー名']).md5($_POST['パスワード']))==$md5)))

{

echo '
ユーザー名: ;/フォーム>';

}

elseif(isset($_POST['ユーザー名']) && isset($_POST['パスワード']) && (md5(md5($_POST['ユーザー名']).md5($_POST['パスワード'])) ==$md5))

{

setcookie("t00ls", $md5, time()+60*60*24*365,"/");

echo "ログイン成功!";

header( 'リフレッシュ: 1; url='.MYFILE.'?action=scan' );

終了();

}

その他

{

setcookie("t00ls", $md5, time()+60*60*24*365,"/");

$setting = getSetting();

$action = isset($_GET['action'])?$_GET['action']:"";

if($action=="ログアウト")

{

setcookie ("t00ls", "", time() - 3600);

Header("場所: ".MYFILE);

終了();

}

if($action=="ダウンロード" && isset($_GET['file']) && トリム($_GET['file'])!="")

{

$file = $_GET['ファイル'];

ob_clean();

if (@file_exists($file)) {

header("Content-type: application/octet-stream");

header("Content-Disposition: filename="".basename($file).""");

echo file_get_contents($file);

}

終了();

}

?>

$version"?>

扫描 |

設定 |

ログイン


if($action=="設定")

{

if(isset($_POST['btnsetting']))

{

$Ssetting = array();

$Ssetting['user']=isset($_POST['checkuser'])?$_POST['checkuser']:"php | php? | phtml";

$Ssetting['all']=isset($_POST['checkall'])&&$_POST['checkall']=="on"?1:0;

$Ssetting['hta']=isset($_POST['checkhta'])&&$_POST['checkhta']=="on"?1:0;

setcookie("t00ls_s", Base64_encode(serialize($Ssetting)), time()+60*60*24*365,"/");

echo "設置完了!";

header( '更新: 1; url='.MYFILE.'?action=setting' );

終了();

}

?>

扫描設定

<表幅="100%" ボーダー="0" セルスペース="0" セルパディング="0">

文件後缀:

>< ;/td>

>< ;/td>

 

}

その他

{

$dir = isset($_POST['パス'])?$_POST['パス']:MYPATH;

$dir = substr($dir,-1)!="/"?$dir."/":$dir;

?>

<表の幅="100%%" border="0" cellpacing="0" cellpadding="0">

扫描路径:

  

if(isset($_POST['btnScan']))

{

$start=mktime();

$is_user = array();

$is_ext = "";

$list = "";

if(trim($setting['user'])!="")

{

$is_user =explode("|",$setting['user']);

if(count($is_user)>0)

{

foreach($is_user as $key=>$value)

$is_user[$key]=trim(str_replace("?","(.)",$value));

$is_ext = "(.".implode("($|.))|(.",$is_user)."($|.))";

}

}

if($setting['hta']==1)

{

$is_hta=1;

$is_ext = strlen($is_ext)>0?$is_ext."|":$is_ext;

$is_ext.="(^.htaccess$)";

}

if($setting['all']==1 || (strlen($is_ext)==0 && $setting['hta']==0))

{

$is_ext="(.+)";

}

 

$php_code = getCode();

if(!is_readable($dir))

$dir = MYPATH;

$count=$scanned=0;

scan($dir,$is_ext);

$end=mktime();

$spent = ($end - $start);

?>

扫描: 文件| 发现: 可疑文件| 耗时:

<表幅="100%" ボーダー="0" セルスペース="0" セルパディング="0">

いいえ

更新時間

原因

機能

アニメーション

}

}

}

ob_flush();

?>

関数スキャン($path = '.',$is_ext){

グローバル $php_code,$count,$scanned,$list;

$ignore = array('.', '..' );

$replace=array(" ","n","r","t");

$dh = @opendir( $path );

while(false!==($file=readdir($dh))){

if( !in_array( $file, $ignore ) ){

if( is_dir( "$path$file" ) ){

scan("$path$file/",$is_ext);

} 他 {

$current = $path.$file;

if(MYFULLPATH==$current) 続行;

if(!preg_match("/$is_ext/i",$file)) 続行;

if(is_readable($current))

{

$スキャン++;

$content=file_get_contents($current);

$content= str_replace($replace,"",$content);

foreach($php_code as $key => $value)

{

if(preg_match("/$value/i",$content))

{

$count++;

$j = $count % 2 + 1;

$filetime = date('Y-m-d H:i:s',filemtime($current));

$reason =explode("->",$key);

$url = str_replace(REALPATH,HOST,$current);

preg_match("/$value/i",$content,$arr);

$list.="

$count

$current

$ファイル時間

$reason[0]

$reason[1]

ダウンロード

";

//エコー $key 。 「-」。 $パス 。 $file ."(" . $arr[0] . ")" ."
";

// $path をエコーし​​ます。 $file ."
";

休憩;

}

}

}

}

}

}

closedir( $dh );

}

関数getSetting()

{

$Ssetting = array();

if(isset($_COOKIE['t00ls_s']))

{

$Ssetting = unserialize(base64_decode($_COOKIE['t00ls_s']));

$Ssetting['user']=isset($Ssetting['user'])?$Ssetting['user']:"php | php? | phtml | shtml";

$Ssetting['all']=isset($Ssetting['all'])?intval($Ssetting['all']):0;

$Ssetting['hta']=isset($Ssetting['hta'])?intval($Ssetting['hta']):1;

}

その他

{

$Ssetting['user']="php | php? | phtml | shtml";

$Ssetting['all']=0;

$Ssetting['hta']=1;

setcookie("t00ls_s", Base64_encode(serialize($Ssetting)), time()+60*60*24*365,"/");

}

$Ssetting を返す;

}

関数getCode()

{

配列を返す(

'後门機能->cha88.cn'=>'cha88.cn',

'後门機能->c99shell'=>'c99shell',

'後门機能->phpspy'=>'phpspy',

'後门機能->スキャナー'=>'スキャナー',

'後门機能->cmd.php'=>'cmd.php',

'後门機能->str_rot13'=>'str_rot13',

'後门機能->webshel​​l'=>'webshel​​l',

'後门機能->EgY_SpIdEr'=>'EgY_SpIdEr',

'後门機能->tools88.com'=>'tools88.com',

'後门機能->SECFORCE'=>'SECFORCE',

'後门機能->eval("?>'=>'eval(('|")?>',

'可疑代码機能->system('=>'system(',

)

'可疑代码機能->passthru('=>'passthru(',

)

'可疑代码機能->shell_exec('=>'shell_exec(',

)

'可疑代码機能->exec('=>'exec(',

)

'可疑代码機能->popen('=>'popen(',

)

'可疑代码機能->proc_open'=>'proc_open',

'可疑代码機能->eval($'=>'eval(('|"|s*)$',

'可疑代码機能->assert($'=>'assert(('|"|s*)$',

'危険险MYSQL代码->returns string soname'=>'returnsstringsoname',

'危険险MYSQL代码->into outfile'=>'intooutfile',

'危険险MYSQL代码->load_file'=>'select(s+)(.*)load_file',

'暗号化バックドアの特性->eval(gzinflate('=>'eval(gzinflate(',

)

'暗号化バックドアの特性->eval(base64_decode('=>'eval(base64_decode(',

)

'暗号化バックドアの特性->eval(gzuncompress('=>'eval(gzuncompress(',

)

'暗号化バックドアの特性->eval(gzdecode('=>'eval(gzdecode(',

)

'暗号化バックドアの特性->eval(str_rot13('=>'eval(str_rot13(',

)

'暗号化バックドアの特性->gzuncompress(base64_decode('=>'gzuncompress(base64_decode(',

)

'暗号化バックドアの特性->base64_decode(gzuncompress('=>'base64_decode(gzuncompress(',

)

'1 文のバックドアの特徴->eval($_'=>'eval(('|"|s*)$_(POST|GET|REQUEST|COOKIE)',

'バックドアの特徴を一文で説明 ->assert($_'=>'assert(('|"|s*)$_(POST|GET|REQUEST|COOKIE)',

'1 文のバックドアの特徴->require($_'=>'require(('|"|s*)$_(POST|GET|REQUEST|COOKIE)',

'1 文のバックドアの特徴 ->require_once($_'=>'require_once(('|"|s*)$_(POST|GET|REQUEST|COOKIE)',

'1 文のバックドアの特徴->include($_'=>'include(('|"|s*)$_(POST|GET|REQUEST|COOKIE)',

'1 文のバックドアの特徴 ->include_once($_'=>'include_once(('|"|s*)$_(POST|GET|REQUEST|COOKIE)',

'一文バックドア機能->call_user_func("assert"'=>'call_user_func(("|')assert("|')',

'一文バックドア機能->call_user_func($_'=>'call_user_func(('|"|s*)$_(POST|GET|REQUEST|COOKIE)',

'1 文のバックドアの特徴->$_POST/GET/REQUEST/COOKIE[?]($_POST/GET/REQUEST/COOKIE[?]'=>'$_(POST|GET|REQUEST|COOKIE)[( [^]]+)](('|"|s*)$_(POST|GET|REQUEST|COOKIE)[',

'1 文のバックドアの特徴->echo(file_get_contents($_POST/GET/REQUEST/COOKIE'=>'echo(file_get_contents(('|"|s*)$_(POST|GET|REQUEST|COOKIE)' 、

'バックドア機能のアップロード->file_put_contents($_POST/GET/REQUEST/COOKIE,$_POST/GET/REQUEST/COOKIE'=>'file_put_contents(('|"|s*)$_(POST|GET|REQUEST) |COOKIE)[([^]]+)],('|"|s*)$_(POST|GET|REQUEST|COOKIE)',

'バックドア機能のアップロード->fputs(fopen("?","w"),$_POST/GET/REQUEST/COOKIE['=>'fputs(fopen((.+),('|")w ('|")),('|"|s*)$_(POST|GET|REQUEST|COOKIE)[',

'.htaccess プラグイン機能->SetHandler application/x-httpd-php'=>'SetHandlerapplication/x-httpd-php',

'.htaccess プラグイン機能->php_value auto_prepend_file'=>'php_valueauto_prepend_file',

'.htaccess プラグイン機能->php_value auto_append_file'=>'php_valueauto_append_file'

);

}



それはカスペルスキーからの誤った警告でしたが、私も同じでした。長い間セーフモードに入っていましたが、後でカスペルスキーのウイルスデータベースを手動で更新しました。 。

以下は本件に関するお知らせです: 5月19日午後15時20分、CNZZはKaspersky ChinaからCNZZ統計サービスの誤検出問題を解決したという最新のウイルスデータベース更新通知を受け取りました。できるだけ早く通常の状態に戻りました。一部のユーザーが依然としてウイルスを報告している場合は、Kaspersky ウイルス データベースを手動で更新してください。

ウェブサイトがトロイの木馬によってハッキングされ、indexphp である限り開くことができません



通常の状況では、コンピュータがトロイの木馬やウイルスに汚染されたり、感染したりすると、一般的なウイルス対策ソフトウェアではこれらの問題を解決できません。Kingsoft Network Shield などのシステム修復ツールを使用することをお勧めします。 Kingsoft First Aid Kit を使用してシステムを修復します。これが私が問題を解決する方法です。
最適なソリューションを提案します

ステップ 1: Kingsoft Antivirus 2011 をダウンロード [Baidu 検索 Kingsoft Antivirus] 公式ダウンロードを選択します

ステップ 2 インストール後、Kingsoft Antivirus を開き、[フル スキャン] をクリックします

http://www.bkjia.com/PHPjc/905902.html

www.bkjia.com

tru​​e

http://www.bkjia.com/PHPjc/905902.html

技術記事

トロイの木馬による PHP Web サイトの修復方法のまとめ. Linux では、コマンドを使用してコードのインストール ディレクトリに移動し、次のコマンドを実行します。
関連ラベル:
linux php 修理 できる 存在する 要約する 私たち 方法 Webサイト
ソース:php.cn
前の記事:ユーザーログインを実装するためのシンプルな PHP データバックグラウンド、PHP バックグラウンドユーザーログイン_PHP チュートリアル 次の記事:PHP が草の根言語とみなされているのはなぜですか? 、PHP 草の根言語?_PHP チュートリアル
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
URL パラメータから取得した PHP 配列が期待どおりに動作しない カテゴリ ID を含む URL パラメータがあり、それを次のような配列として扱いたいと考えています: http://example.com?cat[]=3,9,13 PHP では、...
から 2024-04-06 22:09:02
0
1
1428
ApacheのどこにCustomLogディレクティブを配置すればよいですか 私はphp:7.2-apachedockerを使用しています。ヘルスチェック URL ログイン アクセス ログを無効にする必要があります。このリンクに基づいて、Customlog ...
から 2024-04-06 22:03:59
0
1
990
戻り値の変数の形式は何ですか? 私はphpの初心者です。コードを見つけました: if($x<time()){return[false,'error'];} ロジックや変数は重要ではありませんが、[false...
から 2024-04-06 21:55:20
0
1
778
opentbs を使用して odt ファイルを生成するときに発生する問題: 同じキーの値が別の列ではなく同じ行に表示されます。 PHPでodtを作成するためにOpenTbsというライブラリを使っていますが、列と行が動的に生成されるので利用しています。行と列の作成方法は知っていますが、それらを整理する方法がわ...
から 2024-04-06 20:18:18
0
1
483
ループするために MySQL の結果を ID ごとにグループ化する mysqlにフライトデータを含むテーブルがあります。 codeigniter3Journey_idair_idFlightDurationout_or_inflightdurati...
から 2024-04-06 17:27:56
0
1
406
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート