怎么在网站上搜索恶意代码

需要看源码目录结构或者文件是否加密,请联系客服,对源码价格有疑问,可以联系客服,你好说话,我也好说话

说在前面,趣模板源码网发布的源码或者cms模板,建议大家在下载后用各种软件扫描有没有后门文件,因为这些资源我也是从网上收集的,并不是我自己编程的。
之前我发过一个文章:下载的源码应该首先查病毒跟后门文件 排除木马文件是必要的流程这是一个专门扫描网站后门的软件,建议大家下载。

怎么在网站上搜索恶意代码 教程 第1张

1. 黑客脚本。大多数情况下,当被黑客入侵时,下载的文件是 Web 外壳、
后门、加载程序、垃圾邮件脚本、网络钓鱼页面 + 表单处理程序、门口和黑客令牌文件。

2. 在现有文件中注入。恶意代码和黑客代码的第二种最流行的放置方式是注入。移动和搜索重定向可以注入现有站点文件 .htaccess,后门可以注入 php/perl 脚本,病毒 javascript 片段或第三方资源重定向可以嵌入到 .js 和 .html 模板中。也可以在媒体文件中注入,例如 .jpg 或。恶意代码通常由几个部分组成:恶意代码本身存储在一个 jpg 文件的 exif 标头中,并使用一个小的控制脚本来执行,其代码对于扫描仪来说看起来并不可疑。

3.在数据库中注入。数据库是黑客的第三个目标。在这里,静态插入是可能的,它会将访问者重定向到第三方资源,“监视”它们,或通过偷渡式攻击(使用隐藏下载进行攻击)感染访问者的计算机 | 移动设备。另外,在很多现代CMS(IPB、vBulletin、modx等)中,模板工具允许你执行php代码,模板本身存储在数据库中,所以可以直接嵌入web shell和后门的php代码进入数据库

缓存服务中的注入。

4. 由于缓存服务配置不正确或不安全,例如 memcached,可能会“即时”注入缓存数据。在某些情况下,黑客可以将恶意代码注入网站页面,而不会直接破坏后者。在服务器系统组件中注入/煽动项目。

5. 如果黑客获得了服务器的 root 访问权限,他可以用受感染的元素替换 Web 服务器或缓存服务器的元素。这样的网络服务器一方面会使用控制命令提供对服务器的控制,另一方面,它会不时地将动态重定向和恶意代码注入网站页面。在注入缓存服务的情况下,站点管理员很可能无法检测到站点被黑的事实,因为所有文件和数据库都是原始的。这个选项是最难治疗的。

所以,假设您已经使用扫描仪检查了主机上的文件和数据库转储,但他们没有找到任何东西,并且病毒重定向仍然在页面上,或者移动重定向在页面打开时继续工作。怎么看得更远?

手动搜索

在 unix 上,很难找到比 find / grep 更有价值的命令对来查找文件和片段。

找。-name '* .ph *' -mtime -7

将查找上周更改的所有文件。有时黑客会“扭曲”脚本的修改日期,以便他们找不到新的脚本。然后,您可以搜索

查找属性已更改的 php/phtml 文件。-name '* .ph *' -сtime -7

<如果需要查找某个时间间隔内的变化,可以使用相同的findfind。-name '* .ph *' -newermt 2015-01-25!-newermt 2015-01-30 -lsGrep 在文件中搜索是不可替代的。它可以通过文件递归搜索指定的片段grep -ril 'stummann.net/steffen/google-analytics/jquery-1.6.5.min.js' *攻击服务器时,分析设置了 guid / suid 标志的文件很有用find / -perm -4000 -o -perm -2000要确定当前正在运行哪些脚本并加载托管 CPU,您可以调用lsof + r 1 -p `ps axww | grep httpd | grep -v grep | awk '{if (!str) {str =} else {str = str ","}} END {print str}' `| grep 虚拟主机 | grep php分析主机上的文件1. 进入upload、cache、tmp、backup、log、images目录,脚本写入内容或用户上传内容,扫描内容是否有可疑扩展名的新文件。例如,对于joomla,您可以检查images 目录中的.php 文件: find ./images -name '* .ph *' 很可能,如果找到某些内容,它将是恶意的。对于 WordPress,检查 wp-content / uploads 目录、备份和缓存目录的脚本是有意义的。2.我们正在寻找名称奇怪的文件,例如php、fyi.php、n2fd2.php。可以通过非标准字符组合搜索文件 - 通过文件名中存在的数字 3,4,5,6,7,8,9 3. 我们正在寻找大量 .html 或.php 文件 如果有几千个 .php 文件 .html,很可能是一个门道。4. Web 服务器、邮件服务和FTP 的日志。将邮件发送的日期和时间(可以从邮件服务器日志或垃圾邮件的服务标头中找到)与来自 access_log 的请求相关联,有助于确定发送垃圾邮件的方式或查找垃圾邮件程序脚本。对 FTP xferlog 传输日志的分析可以让您了解在黑客入侵时上传了哪些文件、哪些文件被更改以及由谁更改。正确配置的邮件服务器日志或垃圾邮件的服务标头(如果 PHP 配置正确)将包含发件人脚本的名称或完整路径,这有助于确定垃圾邮件的来源。通过现代CMS和插件的主动保护日志,您可以确定网站上进行了哪些攻击以及CMS是否能够抵抗它们。access_log 和 error_log 可以用来分析黑客的行为,如果他调用的脚本名称是已知的,IP 地址或用户代理。作为最后的手段,您可以在网站被黑客入侵和感染的当天查看 POST 请求。通常,分析允许您找到在黑客攻击时已下载或已经在服务器上的其他黑客脚本。