《如何精确查找PHP WEBSHELL木马？》的评论

作者：CFC4N

CFC4N — Tue, 31 Jan 2012 07:53:29 +0000

感谢反馈。关于您提到的“执行命令的问题，程序中已经做了扫描判断。不过，判断的不够严格，你这里的这种方式，确实没有严格判断，只判断了直接执行，没有赋值的情况，如图：
http://www.cnxct.com/wp-content/uploads/2010/07/check_php_shell_with_python1.jpg

可以将代码中正则

(^|(?<=;))\s*`(?P[^`]+)`\s*;

改为

(^|(?<=;|=))\s*`(?P[^`]+)`\s*;

即可捕捉到。感谢反馈。

作者：t

Tue, 31 Jan 2012 05:47:10 +0000

“来执行命令还一种情况是$a=`id`;echo $a;
不过很少有人这样留shell，如果是拿到你的检测代码了，有意规避的话，这是个疏漏之处

作者：pcghost

pcghost — Mon, 14 Feb 2011 08:12:01 +0000

http://cnxct.googlecode.com/svn/trunk/

作者：nflauthentic

nflauthentic — Thu, 09 Sep 2010 06:25:16 +0000

呵呵，那就放心了呢

作者：CFC4N

CFC4N — Mon, 23 Aug 2010 02:36:33 +0000

呵呵，我后来测试了修正了一下，误报为0 了。

作者：nfl authentic

nfl authentic — Mon, 23 Aug 2010 02:33:04 +0000

Discuz7.2的代码误报的几率大概多少呢

作者：关于网上流传查找PHP webshell的python脚本中，不严谨的代码 | CNXCT小组的博客

关于网上流传查找PHP webshell的python脚本中，不严谨的代码 | CNXCT小组的博客 — Tue, 03 Aug 2010 10:03:49 +0000

[...] =============================我是万恶的分割线====================================== 最新代码在这里给出了。 [...]

作者：N

Tue, 03 Aug 2010 06:38:35 +0000

我来测个头像