发现网站异常跳转、未知文件或资源占用突增,可能是PHP木马植入;需通过检查可疑PHP文件、分析Web日志、扫描特征码、禁用危险函数及启用open_basedir五步识别与防范。
如果您发现网站页面异常跳转、出现未知文件或服务器资源占用率突然升高,则可能是PHP木马已植入系统。以下是识别与防范PHP木马的具体操作步骤:
一、检查可疑PHP文件
攻击者常将木马伪装为正常PHP文件,放置在网站可写目录(如upload、cache、tmp)或混淆命名(如1.php、a.php、shell.php)。需人工筛查非业务逻辑的独立PHP脚本。
1、通过SSH登录服务器,执行命令:find /var/www -name "*.php" -type f -mtime -30,筛选近30天新增的PHP文件。
2、对结果中非项目源码目录下的PHP文件,使用cat 文件名 | head -n 20查看头部内容,重点识别eval、base64_decode、gzinflate、str_rot13、assert等危险函数调用。
立即学习“PHP免费学习笔记(深入)”;
3、比对Git或SVN版本库记录,确认该文件是否为合法提交,无版本记录且含远程请求或文件写入行为的必须隔离。
二、分析Web访问日志中的异常请求
PHP木马常通过GET/POST参数触发执行,日志中会留下高频、非常规路径或含编码payload的请求痕迹,是定位入口点的关键依据。
1、进入Apache或Nginx日志目录,执行:grep -E "\.(php\?|\.php\+|cmd=|shell=|action=)" /var/log/apache2/access.log。
2、筛选出返回状态码为200但URL含base64|eval|system|passthru|exec|proc_open等关键词的行。
3、提取对应IP地址,运行:grep "可疑IP" /var/log/apache2/access.log | awk '{print $7}' | sort | uniq -c | sort -nr,确认其高频访问的PHP脚本路径。
三、使用Linux命令行工具扫描木马特征
利用系统自带命令快速匹配已知木马特征码,无需安装额外软件,适用于紧急响应场景。
1、在网站根目录执行:grep -r --include="*.php" "eval.*base64_decode\|file_put_contents.*$_(POST|GET|REQUEST)" .。
2、检测隐藏的空格或不可见字符干扰:运行grep -r --include="*.php" $'\t' . | grep -v "vendor\|node_modules",定位含制表符的可疑行。
3、查找伪装成图片但实际为PHP的文件:find . -name "*.php" -o -name "*.jpg" -o -name "*.png" | xargs file | grep "PHP script"。
四、部署PHP禁用函数防护机制
通过限制危险函数执行能力,使多数常见PHP木马失去核心功能,从运行时层面阻断恶意行为。
1、编辑php.ini文件,定位disable_functions配置项,追加:eval,assert,system,exec,passthru,shell_exec,proc_open,popen,dl,pcntl_exec。
2、若使用宝塔面板,在【PHP设置】→【禁用函数】框中直接粘贴上述函数列表,点击保存后重启PHP服务。
3、验证生效:新建test.php,内容为,浏览器访问返回disabled即成功。
五、启用Open_basedir限制脚本文件操作范围
防止木马突破网站根目录读取系统敏感文件(如/etc/passwd、/etc/shadow)或跨站写入其他虚拟主机目录。
1、在PHP配置中设置:open_basedir = /var/www/html/:/tmp/:/usr/bin/,仅允许多个明确授权路径。
2、若使用Nginx,于server块内添加:fastcgi_param PHP_ADMIN_VALUE "open_basedir=/var/www/html/:/tmp/";。
3、测试绕过:上传含fopen('/etc/passwd', 'r')的PHP文件,访问时应返回Warning: fopen(): open_basedir restriction in effect错误。
