快速定位PHP后门需检查上传/根目录等高危路径,筛选近期修改、异常命名及可执行权限文件,并用grep扫描敏感函数;删除前须冻结权限、禁用危险函数、备份文件;修复须重命名上传文件、禁用目录PHP执行、验证图片真实类型、移出Web根目录;后门反复出现主因是数据库、定时任务或PHP配置被劫持,须全面排查。
怎么快速定位 PHP 后门文件
后门通常藏在上传目录、网站根目录或模板/插件目录里,名字伪装成正常文件(比如 1.php、shell.php、wp-config-backup.php),也可能用空格、点、下划线混淆(如 .user.ini、xx.php.、xx.php.jpg)。别只搜 .php,得查所有可执行扩展和可疑权限组合。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 用命令快速筛出近期修改的 PHP 文件:
find /var/www -name "*.php" -mtime -7 -ls(注意替换路径) - 查非标准命名但有执行权限的文件:
find /var/www -type f -name "*" -perm -u+x,g+x,o+x 2>/dev/null - 重点检查
uploads/、cache/、tmp/、wp-content/(WordPress)、public/uploads/(Laravel)等目录 - 用
grep -r "eval\|base64_decode\|system\|exec\|shell_exec\|passthru" /var/www --include="*.php"扫描敏感函数调用(注意误报,但必须人工复核)
删后门前必须做的三件事
直接删文件可能让攻击者触发反制逻辑(比如删完就发告警、清日志、重写配置),也容易漏掉持久化入口。先冻结再清理。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 立刻禁用对应 Web 用户的 shell 权限(如把
www-data的登录 shell 改为/usr/sbin/nologin) - 临时关闭 PHP 的危险函数:在
php.ini中设置disable_functions = exec,passthru,shell_exec,system,proc_open,popen,pcntl_exec,然后重启 PHP-FPM 或 Apache - 备份当前所有 PHP 文件(含隐藏文件)和 Web 日志:
tar -czf backup-before-clean-$(date +%s).tar.gz /var/www/ /var/log/apache2/ /var/log/php* 2>/dev/null
上传漏洞怎么堵住(不靠 WAF 就生效)
上传漏洞核心不是“没校验后缀”,而是服务端没做内容解析隔离。光靠 JS 前端校验或简单后缀白名单(比如只允许 .jpg)毫无意义——攻击者改个 Content-Type、加个空字节、用 .htaccess 绕过都行。
实操建议:
立即学习“PHP免费学习笔记(深入)”;
- 上传后立即重命名文件,强制使用随机字符串 + 固定安全扩展(如
uniqid().'.jpg'),**绝不保留原始文件名** - 上传目录禁止执行 PHP:Apache 加
Order Allow,Deny location ~ \.php$ { deny all; } - 用
getimagesize()或exif_imagetype()验证图片真实类型,**不能只看 MIME 或扩展名** - 上传文件存到 Web 目录外(如
/data/uploads/),通过 PHP 脚本代理访问,避免直接 URL 可达
为什么删了后门还会回来
常见原因不是你删得不干净,而是攻击者早就在数据库、定时任务、Webshell 管理后台里埋了自动恢复逻辑。比如 WordPress 插件被篡改、crontab -e 里有下载脚本的条目、或者 MySQL 的 SELECT ... INTO OUTFILE 写了恶意文件。
必须检查:
-
crontab -l -u www-data和/etc/crontab是否有异常任务 - MySQL 是否启用了
secure_file_priv,查SELECT @@secure_file_priv;,若为空或为/,立刻加固 - WordPress 检查
wp_options表中active_plugins和theme_mods_*字段是否含 base64 编码的 PHP 代码 - PHP 的
auto_prepend_file或auto_append_file是否被恶意配置(查phpinfo()输出或php -i | grep auto)
上传漏洞修复后,最易忽略的是数据库层面的持久化后门和 PHP 配置劫持,这两处不清理,删一百次文件也没用。
