php无法真正杀毒,仅能做可疑文件特征筛查;可靠检测须依赖clamav等系统级引擎,php仅作调度或预筛层。
PHP 本身不能检测病毒
PHP 是一门服务端脚本语言,没有内置的病毒特征库、行为沙箱或实时监控能力。所谓“用 PHP 扫描病毒”,实际只能做**可疑文件特征筛查**,比如检查文件名、扩展名、文件头(magic bytes)、是否包含恶意 PHP 函数调用(如 eval、assert、base64_decode 嵌套)、是否被注入 WebShell 片段等。
真正可靠的病毒检测必须依赖操作系统级的反病毒引擎(如 ClamAV),PHP 只能作为调度器或预筛层。
- 直接在 PHP 中写“杀毒逻辑”等于自己维护一个过时的签名库,既不安全也不可持续
- 上传后立刻用
shell_exec('clamscan')调用 ClamAV 是常见且合理的选择,但需确保 PHP 进程有权限执行外部命令且 ClamAV 已安装更新 - 若服务器禁用
exec/shell_exec(多数共享主机如此),那 PHP 层最多只能做静态规则匹配,误报率高、绕过容易
用 file_get_contents + 正则匹配 WebShell 关键模式
这是最常被问到的“PHP 自检”场景:上传目录下有没有被植入一句话木马或小马?重点不是查“病毒”,而是查**非预期的 PHP 执行入口**。
示例:扫描 /uploads/ 下所有 .php 文件,检查是否含 $_POST + eval 组合:
立即学习“PHP免费学习笔记(深入)”;
foreach (glob('/var/www/uploads/*.php') as $file) {
$content = file_get_contents($file);
if (preg_match('/\$_(POST|GET|REQUEST)\s*\[\s*[\'"]\w+[\'"]\s*\]\s*;?\s*eval\s*\(/i', $content)) {
echo "可疑文件: {$file}\n";
}
}
- 别只盯
eval——assert、system、passthru、create_function(PHP 7.2+ 已废弃)同样危险 - 正则要加
i修饰符,忽略大小写;避免用.*匹配换行,改用[\s\S]*?或分步读取 - 注意二进制文件(如图片)被伪装成
.php后缀的情况 —— 先用finfo_file检查真实 MIME 类型,再决定是否解析内容
用 finfo_file 判断文件真实类型防扩展名欺骗
攻击者常把木马保存为 shell.jpg.php 或直接命名为 avatar.png 却写入 PHP 代码。仅靠 pathinfo($file, PATHINFO_EXTENSION) 完全不可信。
必须用 libmagic(PHP 的 finfo 扩展)读取文件头:
$finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, '/tmp/uploaded.jpg'); finfo_close($finfo); // 返回 'image/jpeg' 或 'text/x-php' 或 'application/octet-stream'
- 如果上传的是图片但
$mime返回text/x-php或application/x-httpd-php,基本可判定被篡改 - 部分 WebShell 会刻意填充 JPEG 头部(
\xff\xd8\xff\xe0)再追加 PHP 代码,此时finfo可能仍判为image/jpeg—— 需配合后续内容扫描 - 确保
finfo扩展已启用:extension=finfo在php.ini中未被注释
ClamAV 集成失败的三个高频原因
想让 PHP 调用 ClamAV 扫描,90% 的问题不出在 PHP 代码,而出在环境配置。
-
Permission denied错误:PHP 运行用户(如www-data)无权执行/usr/bin/clamscan,或无权读目标文件夹 —— 用sudo -u www-data clamscan /tmp/test.php手动测试权限 -
clamscan: command not found:ClamAV 未安装,或不在$PATH中 —— 改用绝对路径,如/usr/local/bin/clamscan - 扫描超时或返回空结果:默认
clamscan不递归且限制文件大小(10MB),加参数-r --max-filesize=50M --max-scansize=50M;PHP 的max_execution_time也需同步调高
真正难处理的是混淆 WebShell 和无签名新型威胁 —— ClamAV 也做不到 100% 覆盖,它只是把 PHP 的静态分析能力,外包给了更专业的 C 工具链。
