2026-07-15 111 次
Web‑Shell就是黑客上传到网站目录里的后门文件(php、asp、aspx、js),访问该文件就能操控服务器:查看源码、下载数据库、上传勒索病毒、修改网页、执行系统命令。HTTPS、SSL证书查不出webshell。检查分成:肉眼查看文件、服务器日志、网站访问日志、进程排查、工具扫描、人工深度分析。
可疑文件常见特征:
文件名字杂乱无章,例如:sys202507.php、index‑x6.php、a1b2c.php;放在upload、images、temp目录里;图片文件夹里面出现php文件几乎100%是后门。
文件打开后代码经过base64、gzip加密、eval、assert、preg_replace回调执行代码; 示例:
eval(base64_decode('很长一串乱码'));只要出现eval、system、exec、shell_exec、passthru、proc_open这些函数大概率是后门。
文件修改时间异常:今天才创建,但是文件名看着很正规,或者半夜2‑4点新增PHP文件。
/upload/、images/、temp、cache、data、install目录;
网站根目录、admin目录;
备份文件夹里面多出php文件。
把全部PHP文件按修改时间排序,查看最近7‑15天新增文件;
图片文件夹里不允许存在php文件。
日志目录:
宝塔:/www/wwwlogs/域名.log重点筛选下面访问行为:
半夜时段访问陌生php文件;
GET或者POST请求里携带 system()、whoami、net user、ipconfig、dir等系统命令;
同一个IP高频访问一些不知名php文件;
访问参数包含 ?cmd=、?exec=。
出现以上行为代表后门已经存在或者黑客正在尝试上传后门。
查看任务管理器: 出现php‑cgi.exe持续长时间运行,CPU占用偏高;即使网站没人访问PHP进程一直驻留。
查看cmd、powershell被php程序调用,说明webshell在执行系统指令,离勒索病毒就很近了。
执行命令:
ps aux | grep php
发现PHP进程调用 /bin/bash,执行系统命令,确定后门存在。
宝塔自带Web‑Shell查杀;
河马webshell查杀、D盾(Windows服务器最强); D‑盾原理:特征匹配 + 代码语法分析,识别加密后门、变形后门。
缺点:加过混淆免杀的高级webshell普通杀毒工具查不出来。
Windows服务器事件查看器:查看陌生IP登录服务器;
Linux查看/var/log/secure,查看SSH登录记录;
FTP日志:查看陌生IP登录FTP上传文件;很多情况是你的电脑中木马,FTP账号被盗上传后门。
图片伪装后门:后缀是jpg,但是文件里面包含PHP代码;配合文件包含漏洞执行后门,D盾有时检测不到;
注入配置文件:把后门代码写到config.php数据库配置文件里面;
定时任务:黑客添加计划任务,每隔一段时间创建后门文件;就算你删掉文件,过几天后门再次出现;
内存级WebShell:后门只驻留在内存,磁盘里没有文件,重启服务器后门就消失,不重启永远存在;工具扫描完全发现不了。
网页莫名多出灰色外链、赌博链接、广告代码;
百度收录出现一堆无关垃圾页面;
网站文件经常莫名改动;
服务器磁盘占用无故升高;
数据库莫名被导出;
你的后台登录日志里出现陌生IP登录记录。
第一步:立刻关闭网站,禁止黑客继续操作;
将全部网站源码下载到本地电脑用D盾深度扫描;
不能只删除后门文件:黑客大概率拿到管理员账号,就算删掉后门,对方还会再次上传;
修改宝塔面板密码、数据库密码、FTP密码;
修改服务器3389/SSH密码;
检查系统计划任务,删除陌生定时任务;
升级PHP版本,修补代码漏洞;
对比备份源码,用干净备份覆盖现有程序;
排查你自己电脑是否中木马(你的电脑中毒,FTP密码被盗是高频原因)。
禁止upload目录运行PHP程序(Nginx配置限制);
不要使用老旧版本建站程序;及时打补丁;
后台地址自定义,设置高强度密码;禁止弱密码;
本地电脑做好勒索病毒防护,避免FTP密码泄露;
定期备份源码和数据库,备份文件离线保存。
初级后门:看最近新增文件 + D盾查杀 + 查看访问日志即可查出来;
高级免杀后门:磁盘扫描工具失效,要查看进程、系统计划任务、内存状态;
SSL证书(HTTPS)无法防止webshell;代码漏洞和弱口令才是根源。