怎样查杀 PHP 网站的后门呢

php这么灵活……基本没办法通杀。

所以要么找到特征批量的查找，要么……我也不知道

删了源码重新部署应该是唯一的方法了

同 GPU 。
还得注意数据库里面有没有 xss ，否则对方还有可能拿到你的浏览器会话。

同 GPU 。
网站有木马基本靠重装。特别像论坛这种非常容易重装的程序，果断装个新的然后移植数据。

@whywhywhy 是否可以Linux命令查找敏感的php函数呢，比如shell_exec等

@GPU 重新部署治标不治本啊，入侵者还会重来的

@gamexg xss只是听过，具体原理不了解

@msg7086 或许还可以添加些权限设置，让他们无法上传大马

一些网站后台允许修改网站名称、页头、页尾和广告。这个有些是储存到数据库的。

如果对方在里面加 <script src="http://对方的服务器上保存的脚本" type="text/javascript"></script> ，如果登陆页面插入了他的js，那么之后登陆用户的密码他都能轻松拿到的。

无法大马，一句话一样可以搞的。

你要是图省事并且信任360之类的，就直接使用安全宝之类的服务吧...

@gamexg 已补脑

http://www.acunetix.com/websitesecurity/cross-site-scripting/

http://www.cnblogs.com/tankxiao/archive/2012/03/21/2337194.html

@gamexg 一句话怎么搞定？360就得了吧

搞错了，要是权限配置好，禁止增加、修改、删除网站文件是可以解决一句话的。

@vitozhang 如果是被入侵后植入的，看看每个文件的修改日期，再检查……

如果是程序本身有漏洞 那基本没戏 查关键词或许有效

但是自从上次看了各种各样的php后面之后，觉得没戏了……因为php太灵活了。

没办法的，PHP非常灵活，按关键字搜根本搜不到，只能用dz那种比对md5的办法人工处理

@kookxiang php终究还是要用来执行shell的嘛，只要搜索正则处理的点就可以找出来吧

@vitozhang 你需要的不是怎么去查php里面的后门木马，而是完善的程序的漏洞，还是就是加强ssh的验证方式，比如证书登陆

strace抓原始操作
某司CTO曾经用这个方法抓到一枚3年前植入的webshell

@mengzhuo 太高端了，Linux高端命令还不会用

@GPU 都得有啊