智客-zxdker的博客

这个工具是我自己编写的查找webshell木马的工具-zxdker网站安全工具 V1.0。适用于网站被人恶意修改或挂马的朋友，界面和代码借鉴了几个php程序。对于wordpress和dedecms等主流cms程序，一般不会误杀。

webshell是所谓的‘黑客’在入侵网站后，方便自己管理修改网站用的后门，一般功能强大的webshell叫大马，而隐蔽一些的只有上传功能的叫小马，而最隐蔽的就是网页里插入有eval($_’函数的‘一句话木马’，然后用工具远程执行命令。我这个工具没有什么技术含量，原理就是通过查找有关键字的php文件，来寻找webshell。webshell跟网页木马不同，网页木马是黑客获得webshell后，一般通过一个iframe框架来添加一段恶意代码来让访问者中木马。这个工具目前未提供查找网页木马的功能。工具的最终目标就是能查杀主流的webshell木马和清除网页里挂的网马。

一般webshell的特征是

1.有一些常见的危险函数，如shell_exec，passthru，move_uploaded_file ($_FILES’)等等。大部分常用的webshell都有这些函数。当然还有一些危险的sql查询语句。

2.有一些常见的关键词。大部分流行的php木马都是从几款webshell修改而来，里面会有一些常见的词，比如说一个在线的黑客工具网站‘cha88.cn’（现已改名为tools88.com），phpspy（一款最常用的php webshell）

3.有一些加密的特征。正常的php文件一般是未加密过的，而很多php木马为了逃过杀毒软件的查杀，会进行加密。会出现类似于val(gzinflate(这样的加密函数。

其实webshell完全可以通过使用一些常用函数来实现这些危险的函数的功能，而过滤这些函数就会误杀正常的php文件。所以这个工具只适合与使用了常用的webshell的菜鸟黑客。如果中了高手写的webshell，这个工具也无能为力。而php木马只是一个功能更强大的正常php文件罢了，所以一般的杀毒软件是不会报毒的，所以虚拟主机里就算有了webshell，一般也不会被删除的，所以只能通过特征码的形式查找。

这个工具目前php木马查杀的部分还算是完善，没有太多误杀的情况。有些php虚拟主机也会支持asp，所以我也添加了asp的特征码，还不太完善，会有误杀的情况，而查找挂马的功能还没有添加。所以为了安全，不提供在线编辑删除文件的功能，也就是说这个文件不会修改你网站上的任何文件，可以放心使用。

使用方法。

先编辑这个文件，把默认的密码‘zxdker’改为自己的密码，然后上传到网站的任意目录。在浏览器里访问这个网页，然后输入密码，进入后，点开始扫描就可以了。如果有webshell，会提示webshell的特征。可以点击可疑文件的链接在浏览器中查看这个文件。一般webshell作为一个独立的文件，是可以正常访问的，而正常的php文件很多时候是为了被其他文件调用，访问时反而会报错。你可以把这个可疑文件下载到本地，看源码确定是不是php木马。请在确定这个文件是php木马之后再手动删除。

提供一个工具预览的地址http://zxdker.com/lab/zxdker.php,

可以使用密码zxdker登录测试这个程序。同目录下有一个php的木马，phpshell.php,是可以通过我的工具查出来的。如果哪位朋友中了php木马这个工具却无法查到，请把木马程序发到我的邮箱zxdker#gmail.com (#换成@),谢谢！

工具下载地址：点击下载