PHP后门是被植入的恶意脚本,常藏于上传/缓存/模板目录,命名仿正常文件或伪装成图片,特征包括异常修改时间、777权限、含eval/assert/base64_decode等危险函数、体积小无业务逻辑;必须检查内容而非仅依赖文件名。
PHP后门文件通常长什么样
PHP后门本质是被植入的恶意脚本,不是系统或框架自带文件。它们往往藏在上传目录、缓存目录、模板目录下,命名刻意模仿正常文件,比如 config.php.bak、cache.php、1.php、shell.php,或使用非常规扩展名如 .php5、.phtml。更隐蔽的会伪装成图片(avatar.jpg),但文件头实际是 PHP 代码。
常见特征包括:
- 文件修改时间远晚于项目上线时间,且与近期开发操作无关
- 文件权限异常(如 777,尤其在非上传目录出现)
- 内容含
eval(、assert(、base64_decode(、system(、passthru(、$_POST/$_GET直接参与执行等高危模式 - 文件体积极小(几百字节),无业务逻辑,只有 shell 功能
不要只依赖文件名判断——必须检查内容。用 grep -r "eval|assert|base64_decode|shell_exec" /var/www/html/ 快速扫描,但注意绕过关键词的后门(如变量拼接、异或解密)需人工复核。
删错文件后怎么立刻止血并恢复
误删关键文件(如 index.php、wp-config.php、composer.json)会导致站点直接 500 或白屏。第一反应不是重装,而是立即冻结写入、定位可恢复源:
立即学习“PHP免费学习笔记(深入)”;
- 立即停止 Web 服务:
sudo systemctl stop apache2或sudo systemctl stop php-fpm nginx(防止日志覆盖或新文件写入干扰恢复) - 检查是否启用版本控制:
git status;若在工作区且未git add过误删文件,git checkout --可秒级还原 - 若用宝塔、cPanel 等面板,查看「回收站」或「文件备份」功能——部分面板默认开启 7 天自动快照
- 没备份?别急着格式化磁盘。Linux 下删除只是 unlink,inode 未覆写前可用
extundelete(ext4)或photorec尝试恢复,但成功率取决于磁盘写入压力:越早执行、越少操作,恢复概率越高 - 生产环境切勿在原盘运行恢复工具,应先
dd if=/dev/sda of=/backup/sda.img镜像再操作
如何避免反复中招和误删
后门反复出现,说明入侵链路没堵住;而频繁误删,常因缺乏最小权限意识和操作留痕。
预防后门:
- 关闭
allow_url_include = Off和display_errors = Off(错误信息可能泄露路径) - 上传目录禁用 PHP 解析:Nginx 中加
location ~ ^/uploads/.*.php$ { deny all; };Apache 用.htaccess配置php_flag engine off - 定期用
find /var/www/html -type f -name "*.php" -mtime -7查最近新增 PHP 文件,人工审计
防误删:
- 所有删除操作前加
ls -l确认目标,绝不直接rm -rf * - 用
mv替代rm:把疑似后门移至隔离目录(如/tmp/quarantine/),观察 24 小时无异常再彻底删除 - 对核心站点目录启用只读挂载(
mount -o remount,ro /var/www/html),发布时再切回读写
哪些“正常文件”最容易被当成后门误杀
最常被冤杀的是三类文件:动态生成的缓存、低代码平台产出物、以及开发者留的调试入口。
典型例子:
-
cache/compiled.php(Laravel 的视图编译缓存)——含大量echo和isset,但无危险函数,不能删 -
themes/xxx/footer.php(WordPress 主题里带$_GET['debug']的调试开关)——看起来像后门,实为开发残留,应注释掉而非删除 -
vendor/autoload.php—— Composer 自动加载文件,含eval('return '.var_export(...))类似结构,属合法动态代码生成,删了整个项目崩
判断依据不是“有没有可疑字符串”,而是“是否由可信构建流程产出”。查 Git 提交记录、构建日志、或比对官方包哈希(如 Laravel 的 composer.lock 中对应版本 SHA)。
后门清理不是体力活,是逆向分析过程;而误删补救的关键,在于你删之前有没有把磁盘当一次性用品来对待。
