網站木馬檢測小程序與常見木馬清除方法 轉

1、中國的開源軟件很多，但同時也給我們帶來了很多安全問題，網站掛馬成發站長最頭痛的事情，在這裡我寫一個檢測網站木馬PHP的小程序讓大家參考。

2 s8 O3 }$ q; \) Q5 T; V5 E3 n& R軟件原理：一般的木馬都是加密的，所謂的加密反而讓我們檢測帶來了方便，PHP木馬的最明顯特徵是使用了 eval 與 base64_decode 這函數，這樣就很好去檢測了，當然有些CMS的正常文件也可能出現這東西，區別是CMS的文件打開是正常一行一行的，而木馬通常是：

' ?9 O) S2 H0 i; t( n$ a1 \; ~0 Neval(base64_decode(..............));

# l$ i% t7 t3 m# Y: m" b0 X. X' n?>

這樣的代碼，而且基本都是如此，下面是檢測程序：

function parAllFiles($d)

{
; o, ?" C4 E( u' e
$dh = dir($d);

while($filename = $dh->read() )

{
' s5 X) ]' g6 @/ C
& q. |6 d$ ^+ ^if($filename=='.' || $filename=='..') continue;
5 d3 ]  o' @4 d: e
$tfile = $d.'/'.$filename;

if(is_dir($tfile))

{
; V3 l# S$ _1 {7 M$ U. J
! x: h. B" M3 f, C//echo "檢查到： $tfile
- {/ h6 V5 _4 l5 Q9 W: m";
) T/ L" |. x3 j8 n
parAllFiles($tfile);

/ [3 q6 q; S7 T! F1 C}

5 A) V) o1 p, L$ t6 W  xelse

{

if(!ereg("\.php", $tfile)) continue;
, U" r% \3 {, O7 E
$bd = file_get_contents($tfile);
5 e' ]! _( K  F  k- t* B4 h0 W
- Z" M/ S1 K* n+ Wif(eregi("eval\(", $bd))
9 H1 e- a: I) a- Q) h4 Z
* g: t( t8 O4 P" v! g( a{

echo "$tfile
% q/ `: S8 s% h. }\r\n";
+ e& F0 t4 F7 c, a9 v
}
5 Z3 k! l; H( }* U
( d2 O, m  |1 ~# c}
4 r! L, Z3 X) l# J0 P' S2 h# E2 ^( U  n
% V9 z+ F8 P. i5 K- w9 @/ \}

}
. |! J( |. W- B
parAllFiles(dirname(__FILE__));
/ h  n; c! f$ ~7 @# H! m
?>

使用這個檢測程序會把所有帶eval的文件作為可疑文件，打開來看一下，如果代碼像前者那樣的，肯定是木馬了。
3 {' e$ P/ C0 Z) |
/ o) C9 o- ~* B對於有使用服務器的用戶，記住設置網站權限的一個原則：存放HTML、附件的文件不給予執行腳本權限，執行腳本的文件夾不給予寫入的權限。

2、MySQL提權漏洞的處理
/ D' M# a3 k! Q' N( u- T3 W
MySQL提權漏洞在windows服務器幾乎是致命的，如果你把WEB木馬都清理後，發現黑客還能掛馬，很可能是這個問題所致的，這要作下面幾方面處理：

(1) 網站的用戶千萬不要用root用戶，如果建立一個沒權限的用戶，然後指定它有操作某數據庫的權限；

(2) 檢查網站或windows文件，看是否有 udf.dll 或 xudf.dll (x通常是數字1、2、3等)，如果有，說明你的服務器已經中招了，這種木馬是致命的，清除方法是先用net stop mysql停止Mysql，然後刪除這些dll文件，然後用 net start mysql 重新啟動mysql。

(目前在phpcms2008、php168最新版都已經發現可能實現mysql提權的致命漏洞，建議做新站的盡量用dedecmsV5.3或Ecms V5.1)