晒一下自写的webshell检查程序

以前一直用grep和find命令手工查找，过程十分繁琐，很早前就想写个程序自动化来操作，这两天终于动手给写出来了。


查杀思路： http://www.server110.com/web_sec/201408/10902.html
（理论上可以做到无任何遗漏，但是在实际操作上，检查越全面，越深入，工作量越大。一个网站可能会报出几百几千个文件，而且有些文件得去检查上下文，文章尾部有补充，这样的检查是十分耗时的）


下面这个例子，符合二个检查特征：单行过长，包含变量函数。

这台主机上一共十几个站， 从图上可以看到，一共检查到的变量函数共1444个，其中绝大多数都是网站程序自身的正常代码。



一般的webshell，从程序报的结果中就能直接看到，比如一楼的图中。


但是有些黑 客精心构造的webshell，必须检查下代码所在位置的上下文，才能确定是程序的自身代码，还是webshell的代码。
比如eval($_POST['pass'])，可以通过检查结果直接判断出这是菜刀的后门，但是如果写成这样
$code = $_POST['pass'];
eval($code);
这就得去检查程序文件了，看看$code到底是什么内容。