一个09年在搜狐服务器上偷来的检测PHP后门的WEBSHELL脚本[转]

/ 0评 / 0

09年渗透搜狐某服务器后
突然某天我的WEB后门全部被干掉了
幸好有ROOT权限
上去后发现了这个脚本
就收藏了 一直在硬盘里躺着
翻数据库时候翻出来的
贡献给大家了
LINUX+PHP下效果很好 以测 
WIN未测试 大家自行测试

 
[php]
<?php
/*--------------------------------chinese@hackermail.com[折羽鸿鹄]----------------------------
#PHPwebshell检测脚本,搜狐SHELL备份

#检测特征如下:
#eval\(\\$\_POST 匹配 eval($_POST[cmd])--PHP一句话后门代码
#system(),exec(),shell_exec(),popen(),passthru(),proc_open()这些函数可以执行系统命令,名且在PHPSPY木马中使用
#phpinfo() 后门中经常出现的函数,正常文件中也可能出现造成敏感信息泄露
#eval\(base64 匹配经过base64编码后的后门
#eval\(gzuncompress 匹配经过gzip压缩过的后门
#\`*\` 匹配类似`$_REQUEST[cmd]`的一句话后门

#使用方法
./findshell.php /web根路径>log
--------------------------------chinese@hackermail.com[折羽鸿鹄]----------------------------*/

set_time_limit(0);

function find($directory)
{
//echo $directory."\r\n";
$mydir=dir($directory);
while($file=$mydir->read()){
if((is_dir("$directory/$file"))&&($file!=".")&&($file!=".."))
{
find("$directory/$file");
}
else{
if($file != "." && $file != ".."&&eregi(".php",$file)){
$fd=realpath($directory."/".$file);
$fp = fopen($fd, "r");
$i=0;
while ($buffer = fgets($fp, 4096)) {
$i++;
//eregi匹配的是phpwebshell的特征
if((eregi("eval\(\\$\_POST",$buffer))||(eregi("system\(",$buffer))||(eregi("exec\(",$buffer))||(eregi("shell_exec\(",$buffer))||(eregi("popen\(",$buffer))||(eregi("phpinfo\(",$buffer))||(eregi("passthru\(",$buffer))||(eregi("proc_open\(",$buffer))||(eregi("phpspy",$buffer))||(eregi("eval\(base64",$buffer))||(eregi("eval\(gzuncompress",$buffer))||(eregi("preg_replace\(\"\/\^\/e",$buffer))||(eregi("assert\(",$buffer))||(eregi("error_log\(",$buffer))||(eregi("dl\(",$buffer))){
all();
echo "File path:".$fd."\r\nLine".$i.":".$buffer."\r\n\r\n";
}
}
fclose($fp);

}
}
}
$mydir->close();
}
function all()
{
static $count = 1;
echo $count;
$count++;
}

find($argv[1]);
?>
[/php]
转自:https://www.t00ls.net/thread-22486-1-1.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注