Hugo博客公告弹窗

守护你的 PHP 网站:一键式恶意文件检测与清除脚本

网站安全

网站安全是必须重点关注的,除非你说你是1ip站点,即使从你建站的那一刻,你总会幻想过日ip过万吧,万一呢,所以,安全的重要性就来了,流量大了,什么鸟都会从四面八方赶来~

密钥登陆

服务器禁止密码登录,改成密钥登录,选择菜单9:root私钥登录模式

curl -sS -O https://raw.githubusercontent.com/woniu336/open_shell/main/tp.sh && chmod +x tp.sh && ./tp.sh

将密钥保存到本地(sshkey)然后再删除,因为公钥已写入:authorized_keys,大胆删除

rm /root/.ssh/sshkey /root/.ssh/sshkey.pub

重启ssh

sudo service ssh restart

另外一种密钥登录方式(注意:仅适用博主本人)

bash <(curl -fsSL git.io/key.sh) -og woniu336 -d

监控脚本

首先,我们需要安装 pip

sudo apt-get update
sudo apt-get install python3-pip

用 pip 安装 python-crontab 包

pip3 install python-crontab

下载脚本

curl -sS -O https://raw.githubusercontent.com/woniu336/open_shell/main/php-s.py && chmod +x php-s.py
python3 php-s.py
  • 删除的可疑php文件保存在/tmp/suspicious_files
  • 监控记录日志/tmp/scan_history.log

这个脚本的主功能是:

自动监控多个网站目录中的PHP文件,检测并删除包含高风险域名的代码,同时识别未授权的新增PHP文件并采取相应措施,通过钉钉实时通知管理员异常情况,从而提高网站安全性。

脚本功能:

  1. 自动删除包含高风险域名的代码行
  2. 检测并删除未经授权的新增PHP文件
  3. 通过钉钉实时通知管理员异常情况

监控脚本

每5秒监控一次

cd /root && curl -O https://raw.githubusercontent.com/woniu336/open_shell/main/scanner_loop.sh

权限

chmod +x /root/scanner_loop.sh

后台运行

nohup ./scanner_loop.sh > /dev/null 2>&1 &

查看进程

ps aux | grep scanner_loop.sh

停止进程

kill 2156936

或者使用 pkill

pkill -f scanner_loop.sh

定时任务

每分钟检测一次,可以和监控脚本一起用,或者只用其中一种

(crontab -l ; echo "* * * * * /root/php-malware-scanner.sh >/dev/null 2>&1") | crontab -

检测脚本

默认备份目录:/opt/backup

这个脚本是一个检测和清理PHP文件中恶意代码的自动化工具,它会备份原始文件,识别包含可疑模式的文件,移除恶意代码,并生成统计信息

统计信息保存目录/opt/backup

只检测不移除恶意代码的脚本

curl -sS -O https://raw.githubusercontent.com/woniu336/open_shell/main/php-s.sh && chmod +x php-s.sh

修改脚本

nano php-s.sh

移除恶意代码脚本

curl -sS -O https://raw.githubusercontent.com/woniu336/open_shell/main/cece.sh && chmod +x cece.sh
CC BY-NC-SA 4.0 转载请注明
最后更新于 2024-11-23 15:12
clarity统计