PHP后门需立即清除以避免横向移动、数据窃取等升级攻击;应通过find查时间戳异常和非常规命名文件,用grep定位危险函数组合,删前停服务并备份,再封IP及审计系统配置与权限。
PHP后门一旦被植入,越早清除,损失越小——这不是经验之谈,而是由攻击链的典型行为决定的:多数后门会在24小时内尝试横向移动、窃取数据库、挂黑页或加入僵尸网络。拖过72小时,大概率已外连C2服务器、生成子后门、甚至完成勒索加密准备。
用命令快速定位最近被改的可疑PHP文件
攻击者上传或修改后门时,几乎总会留下时间戳异常。别翻FTP日志,直接上终端查:
-
find /var/www/html -name "*.php" -mtime -3 -ls—— 查近3天内所有PHP文件变更(-mtime -3表示“小于3天”,不是“3天前”) -
find /var/www/html -name "?.php" -o -name "???.php" -ls—— 找单/三字母命名的PHP文件(如a.php、up.php、2.php),这类99%是小马 - 重点看
size列:小于2KB但含大量字符串拼接或base64_decode的,基本不用看了
⚠️ 容易踩的坑:mtime 可被攻击者用 touch -m 伪造,所以必须结合内容检查;另外,有些后门藏在 .jpg 或 .txt 里,靠 include("xxx.jpg") 动态加载,光搜 *.php 会漏掉。
grep 搜索危险函数调用时要带上下文
只搜 eval 会误报一堆模板引擎和合法配置加载逻辑。真正该盯的是「变量入参 + 危险函数」组合:
立即学习“PHP免费学习笔记(深入)”;
-
grep -r "eval *( *\$" /var/www/html --include="*.php"—— 匹配eval($a)、eval( ${b} )这类动态执行 -
grep -r "base64_decode.*(" /var/www/html --include="*.php"—— 后门最爱用这个解码再eval,单独搜base64_decode没意义 -
grep -r "system\|exec\|shell_exec\|passthru" /var/www/html --include="*.php" | grep -v "echo"—— 排除日志打印等正常用途
看到类似 $a = $_POST['x']; eval(base64_decode($a)); 这种,不用犹豫,删。
删之前必须停服务+改权限,不能直接 rm -f
很多后门会监听特定HTTP头或POST参数才激活,删之前若被触发,可能反向连接、擦除日志甚至格式化磁盘(虽少见但真有)。稳妥做法是:
- 先让Web服务失效:
chmod 000 /var/www/html/shell.php(比chown root:root更彻底,连root都执行不了) - 再备份取证:
cp shell.php /tmp/shell.php.bak && gzip /tmp/shell.php.bak - 最后删除:
rm -f /var/www/html/shell.php - 如果发现多个同名文件(比如
shell.php、shell.php.jpg、.shell.php.swp),全部处理,别只清一个
⚠️ 容易踩的坑:用宝塔或FTP直接删,可能触发后门的__destruct钩子;有些后门写在.user.ini里通过auto_prepend_file自动加载,删PHP文件没用,得查配置文件。
清除后不查日志=白清
后门文件删了,但攻击者IP还在扫目录、重传新马。必须立刻从访问日志反推源头:
awk '$9 == "200" && $7 ~ /\.php$/ {print $1,$7,$11}' /var/log/apache2/access.log | sort | uniq -c | sort -nr | head -20- 重点关注返回200且URL含短名PHP文件的请求,提取
$1(IP)和$7(路径) - 用
ufw deny from xxx.xxx.xxx.xxx封IP,或在Nginx里加deny xxx.xxx.xxx.xxx;
如果日志已被清空或攻击者用了代理,就去查/var/log/auth.log有没有异常SSH登录,以及last命令输出里有没有陌生用户。
真正难清理的,从来不是那个eval($_POST[x])的文件,而是它悄悄改过的wp-config.php里的数据库密码、悄悄加到crontab -e里的定时下载任务、或者藏在WordPress插件更新钩子里的持久化代码——这些不会出现在find结果里,得靠行为分析和权限审计补漏。
