PHP Web木马扫描器代码分享

不废话了,直接贴代码了。

代码如下:

<?php
header('content-type:text/html;charset=gbk');
set_time_limit(0);//防止超时
/**
*
* php目录扫描监控增强版
*
* @version 1.0
*
下面几个变量使用前需要手动设置
*
**/
/*===================== 程序配置 =====================*/
$pass="test";//设置密码
$jkdir="."; //设置监控扫描的目录,当前目录为'.',上一级目录为'..',也可以设置绝对路径,后面不要加斜杠,默认为当前目录
$logfilename="./m.log";//设置存储log的路径,可以放置在任意位置
$exclude=array('data','images');//排除目录
$danger='eval|cmd|passthru|gzuncompress';//设置要查找的危险的函数 以确定是否木马文件
$suffix='php|inc';//设置要扫描文件的后缀
/*===================== 配置结束 =====================*/
$filename=$_GET['filename'];
$check=$_GET['check'];
$jumpoff=false;
$url = $_SERVER['PHP_SELF'];
$thisfile = end(explode('/',$url));
$jump="{$thisfile}|".implode('|',$exclude);
$jkdir_num=$file_num=$danger_num=0;
define('M_PATH',$jkdir);
define('M_LOG',$logfilename);
if ($check=='check')
{
$safearr = explode("|",$jump);
$start_time=microtime(true);
safe_check($jkdir);
$end_time=microtime(true);
$total=$end_time-$start_time;
$file_num=$file_num-$jkdir_num;
$message= " 文件数:".$file_num;
$message.= " 文件夹数:".$jkdir_num;
$message.= " 可疑文件数:".$danger_num;
$message.= " 执行时间:".$total;
echo $message;
}else{
if ($_GET['m']=="del") Delete();//处理文件删除
//读取文件内容
if(isset($_GET['readfile'])){
//输出查看密码,密码校验正确以后输出文件内容
if(empty($_POST['passchack'])){
  echo"<form id=\"form1\" name=\"form1\" method=\"post\">"
  . " <label>pass"
  . " <input type=\"text\" name=\"passchack\" />"
  . " </label>"
  . " <input type=\"submit\" name=\"Submit\" value=\"提交\" />"
  . "</form>"
  ."";
  exit;
}elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){
  $code=file_get_contents($_GET['readfile']);
  echo"<textarea name=\"code\" cols=\"150\" rows=\"30\" id=\"code\" style='width:100%;height:450px;background:#cccccc;'>{$code}</textarea>";
  exit;
}else{
  exit;
}
}else{
record_md5(M_PATH);
if(file_exists(M_LOG)){
    $log = unserialize(file_get_contents(M_LOG));
}else{
    $log = array();
}
if($_GET['savethis']==1){
//保存当前文件md5到日志文件
@unlink(M_LOG);
file_put_contents(M_LOG,serialize($file_list));
echo "<a href='scandir.php'>保存成功!点击返回</a>";
exit;
}
if(empty($log)){
echo "当前还没有创建日志文件!点击[保存当前]创建日志文件!";
}else{
if($file_list==$log){
  echo "本文件夹没有做过任何改动!";
}else{
  if(count($file_list) > 0 ){
  foreach($file_list as $file => $md5){
  if(!isset($log[$file])){
   echo "新增文件:<a href={$file} target='_blank'>".$file."</a>"." 创建时间:".date("Y-m-d H:i:s",filectime($file))." 修改时间:".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank'>源码</a><a href='?m=del&filename={$file}' target='_blank'>删除</u></a><br />";
  }else{
   if($log[$file] != $md5){
   echo "修改文件:<a href={$file} target='_blank'>".$file."</a>"." 创建时间:".date("Y-m-d H:i:s",filectime($file))." 修改时间:".date("Y-m-d H:i:s",filemtime($file))." <a href=?readfile={$file} target='_blank'>源码</a><br />";
   unset($log[$file]);
   }else{
   unset($log[$file]);
   }
  }
  }
  }
  if(count($log)>0){
  foreach($log as $file => $md5){
  echo "删除文件:<a href={$file} target='_blank'>".$file."</a><br />";
  }
  }
  }
}
}
}
//计算md5
function record_md5($jkdir){
    global $file_list,$exclude;
    if(is_dir($jkdir)){
        $file=scandir($jkdir);
        foreach($file as $f){
            if($f!='.' && $f!='..' && !in_array($f, $exclude)){
                $path = $jkdir.'/'.$f;
                if(is_dir($path)){
                    record_md5($path);
                }else{
                    $file_list[$path]=md5_file($path);
                }
            }
        }
    }
}
function Safe_Check($jkdir)//遍历文件
{
global $danger ,$suffix ,$jkdir_num ,$file_num ,$danger_num;
) or die('文件夹不存在') ;
while ($file=$hand->read())
{
  $filename=$jkdir.'/'.$file;
  if (!$jumpoff) {
  if(Jump($filename))continue;
  }
  if(@is_dir($filename) && $file != '.' && $file!= '..'&& $file!='./..')
  {  $jkdir_num++;
  Safe_Check($filename);
  }
  if (preg_match_all ("/\.($suffix)/i",$filename,$out))
  {
  $str='';
  $fp = @fopen($filename,'r')or die('没有权限');
  while(!feof($fp))
  {
  $str .= fgets($fp,1024);
  }
  fclose($fp);
  if( preg_match_all ("/($danger)[ \r\n\t]{0,}([\[\(])/i",$str,$out))
  {
  echo "<font color='green' style='font-size:14px'>可疑文件:{$filename}</font>"." 创建时间:".date("Y-m-d H:i:s",filectime($filename))." 修改时间:".date("Y-m-d H:i:s",filemtime($filename))." <a href='?readfile={$filename}' target='_blank'><u>查看代码</u></a> <a href='?m=del&filename=$filename' target='_blank'>删除</u></a><br>";
  $danger_num++;
  }
  }
  $file_num++;
}
}
function Edit()//查看可疑文件
{
global $filename;
$filename = str_replace("..","",$filename);
$file = $filename;
$content = "";
if(is_file($file))
{
  $fp = fopen($file,"r")or die('没有权限');
  $content = fread($fp,filesize($file));
  fclose($fp);
  $content = htmlspecialchars($content);
}
echo "<textarea name='str' style='width:100%;height:450px;background:#cccccc;'>$content</textarea>\r\n";
exit();
}
function Delete()//删除文件
{ global $filename,$pass;
if(empty($_POST['passchack'])){
  echo"<form id=\"form1\" name=\"form1\" method=\"post\">"
  . " <label>pass"
  . " <input type=\"text\" name=\"passchack\" />"
  . " </label>"
  . " <input type=\"submit\" name=\"Submit\" value=\"提交\" />"
  . "</form>"
  ."";
  exit;
}elseif(isset($_POST['passchack'])&&$_POST['passchack']==$pass){
  (is_file($filename))?($mes=unlink($filename)?'删除成功':'删除失败 查看权限'):'';
  echo $mes;
  exit();
}else{
  echo '密码错误!';
  exit;
}
}
function Jump($file)//跳过文件
{
global $jump,$safearr;
if($jump != '')
{
  foreach($safearr as $v)
  {
  if($v=='') continue;
  if( eregi($v,$file) ) return true ;
  }
}
return false;
}
?>
<a href="scandir.php">[查看文件改动]</a>|<a href="scandir.php?savethis=1">[保存当前文件指纹]</a>|<a href="scandir.php?check=check">[扫描可疑文件]</a>

以上代码就是php web木马扫描器代码分享,本文附有注释,有不明白的欢迎给我留言,相信实现方法也不止以上一种,欢迎大家多多分享不同的实现方法。

(0)

相关推荐

  • 精确查找PHP WEBSHELL木马 修正版

    先来看下反引号可以成功执行命名的代码片段.代码如下: 复制代码 代码如下: `ls -al`; `ls -al`; echo "sss"; `ls -al`; $sql = "SELECT `username` FROM `table` WHERE 1"; $sql = 'SELECT `username` FROM `table` WHERE 1' /* 无非是 前面有空白字符,或者在一行代码的结束之后,后面接着写,下面两行为意外情况,也就是SQL命令里的反引号,

  • php检测图片木马多进制编程实践

    前不久,我申请加入了某开源组织,他们要我写一个功能用来检测图片中是否有木马脚本. 其实一开始我什么也不知道,只是后来在网上查了一些资料,找到的全是有制作图片木马的教程,并没有找到检测的程序. 经过几番思索之后,决定从制作原理来分析这种木马程序.这种木马程序是十六进制编码写的,我灵机一动,写了以下这个上传类.最终通过了组织测验.呵呵 现在把它拿出来给大家分享,有什么不好的地方,还请指正! anyon@139.com; 复制代码 代码如下: <?php /** +------------------

  • php木马webshell扫描器代码

    复制代码 代码如下: <?php /* +--------------------------------------------------------------------------+ | Codz by indexphp Version:0.01 | | (c) 2009 indexphp | | http://www.indexphp.org | +--------------------------------------------------------------------

  • php网站被挂木马后的修复方法总结

    本文实例总结了php网站被挂木马后的修复方法.分享给大家供大家参考.具体方法如下: 在linux中我们可以使用命令来搜查木马文件,到代码安装目录执行下面命令 复制代码 代码如下: find ./ -iname "*.php" | xargs grep -H -n "eval(base64_decode" 搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉 最后找到10个木马文件,存放在各种目录,都是php

  • PHP实现webshell扫描文件木马的方法

    本文实例讲述了PHP实现webshell扫描文件木马的方法.分享给大家供大家参考,具体如下: 可扫描 weevelyshell 生成 或加密的shell 及各种变异webshell 目前仅支持php 支持扫描 weevelyshell 生成 或加密的shell 支持扫描callback一句话shell 支持各种php大马 <!DOCTYPE html> <html> <head> <meta charset='gb2312'> <title>PH

  • PHP Web木马扫描器代码 v1.0 安全测试工具

    scanner.php 复制代码 代码如下: <?php /**************PHP Web木马扫描器************************/ /* [+] 作者: alibaba */ /* [+] QQ: 1499281192 */ /* [+] MSN: weeming21@hotmail.com */ /* [+] 首发: t00ls.net , 转载请注明t00ls */ /* [+] 版本: v1.0 */ /* [+] 功能: web版php木马扫描工具 */

  • php 木马的分析(加密破解)

    分析可以知道,此木马经过了base64进行了编码,然后进行压缩.虽然做了相关的保密措施,可是php代码要执行,其最终要生成php源代码,所以写出如下php程序对其进行解码,解压缩,写入文件.解码解压缩代码如下: 复制代码 代码如下: <?php function writetofile($filename, $data) { //File Writing $filenum=@fopen($filename,"w"); if (!$filenum) { return false;

  • 一句话木马的原理及利用分析(asp,aspx,php,jsp)

    一句话木马的适用环境: 1.服务器的来宾账户有写入权限 2.已知数据库地址且数据库格式为asa或asp 3.在数据库格式不为asp或asa的情况下,如果能将一句话插入到asp文件中也可 一句话木马的工作原理: "一句话木马"服务端(本地的html提交文件) 就是我们要用来插入到asp文件中的asp语句,(不仅仅是以asp为后缀的数据库文件),该语句将回为触发,接收入侵者通过客户端提交的数据,执行并完成相应的操作,服务端的代码内容为 <%execute request("

  • PHP 木马攻击的防御设置方法

    1.防止跳出web目录 首先修改httpd.conf,假如您只允许您的php脚本程式在web目录里操作,还能够修改httpd.conf文档限制php的操作路径.比如您的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache /htdocs 这样,假如脚本要读取/usr/local/apache/htdocs以外的文档将不会被允许,假如错误显示打开的话会提

  • 精确查找PHP WEBSHELL木马的方法(1)

    先来看下反引号可以成功执行命名的代码片段.代码如下: 复制代码 代码如下: `ls -al`; `ls -al`; echo "sss"; `ls -al`; $sql = "SELECT `username` FROM `table` WHERE 1"; $sql = 'SELECT `username` FROM `table` WHERE 1' /* 无非是 前面有空白字符,或者在一行代码的结束之后,后面接着写,下面两行为意外情况,也就是SQL命令里的反引号,

随机推荐