如何查找垃圾邮件 php 脚本

如何查找垃圾邮件 php 脚本

大多数共享服务器可能面临着在其网站中注入假 PHP 代码的问题,这可能导致生成垃圾邮件、重定向到其他网站、创建社会工程 URL 等。

建议一个有效的方法

找出在扫描过程中未找到的垃圾邮件生成脚本(maldet 等)。

停止电子邮件垃圾邮件

答案1

找到创建高邮件队列的主目录

grep 'cwd=/home' /var/log/exim_mainlog | awk '{print $3}' | cut -d / -f 3 | sort -bg | uniq -c | sort -bg

查找特定主目录下的网站中是否存在任何 PHP 文件的多重 POST 操作。如果是,请检查该文件,如果发现可疑,请将其锁定。如果 IP 来自特定 IP,请阻止该 IP。

grep POST /usr/local/apache/domlogs/<homedirectory>/* | grep PHP | grep 200 

我在大多数受感染的文件中发现了“模式 1”。         

模式 1 

  grep -irl "GLOBALS.*eval" . | xargs ls -la | grep php

模式 2

grep -irl "Array.*eval" . | xargs ls -la | grep php

模式 2 在 PHP 文件和压缩的 jquery 文件中很常见。但这种模式也出现在一些受感染的文件中。因此,您应该打开每个文件并检查是否存在恶意代码。

模式 3 (伪造的 jQuery 注入)

   grep -irl "jQuery.min.php" . | xargs ls -la

有关 jQuery.min.php 恶意软件的详细信息:https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html

相关内容