怎样查杀 PHP 网站的后门呢

@whywhywhy 挨个文件找太痛苦了，感觉还是部署个系统监控比较靠谱

我是这么处理的：
1、查找木马文件的 web 访问日志
2、查找该 ip 的其他操作，查找相关操作访问过的文件和 url。
3、如果没有相关 ip，可以翻下木马写入时间的web日志。如果网站规模小可以把那几天的日志都翻一下。
3、定位出漏洞所在位置
4、修补漏洞。

虽然理论上 不是 100% 有效，实践中效果不错。

对于高危 php 代码（类似 dedecms），还设想过这样的预警方式：整天 crond 扫描对比文件，如果有异常就发邮件通知。
不过常用防范手法用上后就没遇到过后门，也没去实践。

@shiny 还会把日志留下的入侵真是有良心啊，其实不需要写的php文件可以将整个文件夹设置只读权限，但是cache目录是没法设置只读的，还是能写进木马去，并且cache目录下的php文件经常变化，没法扫描对比

一句话木马是最难定位的，现在都是各种各样想都想不到的方式实现。

@vitozhang web 默认权限，入侵者删不了日志的……
你这种的话 cache 禁止执行 php(不影响 include 执行)，然后排除掉 cache 目录就行了。

检查文件修改时间，看对应时间的访问日志，来确定浏览者是否从web漏洞突破的（如果有日志）；
使用扫描工具扫文件修改时间和关键字，去掉其他后门；
检查是否有弱口令；是否有多余端口；是否有包含漏洞的应用

低权限，read only，文件修改监控都可以保护你~

=,,= 如果程序是你负责开发的倒还好..

1.创建时间/修改时间/文件权限（超高？）

基本上面这3个特征已足以..

2.关键词搜“By”（很多人喜欢HACKING BY WHO WHO WHO ..） “eval” 、“$_POST”、“$_GET”(这2个如果多就说明你们没有对这些global进行封装的习惯，有点难排查=,,=)、“dirname”、“__FILE__” 你们想想还有啥？

3.观察php的log，看下有哪些不可能执行PHP的目录下有PHP代码运行。

@shiny 好方法，cache设置读写去掉执行是不错的主意。默认权限下提权拿到root权限容易吗？

@taogogo 文件监控有没有开源的解决方案呢

@konakona 被include进去的文件不会记录在log中吗

试试“网站安全管家”http://zhanzhang.anquan.org/ ，找黑哥要邀请码

@jungledrum 谢谢推荐，瞧一下

@vitozhang 搜下FAM

@taogogo File Alteration Monitor，赞，有不少开源的项目

如果有版本控制..比如 svn or git
直接 svn status 或者 git status

@xwsoul 这个方法挺赞的