首先查找eval、assert等危险函数是否与用户输入结合使用,再检查base64_decode调用并解码分析隐藏代码,接着审查不安全的文件包含行为,然后识别混淆代码中的动态变量和压缩函数,最后通过比对官方源码发现篡改内容。
如果您在审查PHP源码时怀疑存在恶意代码或后门,需要通过一系列技术手段进行排查。以下是几种实用的检查方法和技巧:
一、查找可疑的系统函数调用
许多PHP后门依赖特定的函数执行系统命令或动态执行代码。识别这些函数的使用是发现后门的第一步。
1、搜索源码中是否包含 eval、assert、system、exec、shell_exec、passthru 等危险函数。
2、使用文本编辑器或命令行工具(如grep)进行全局搜索,例如:grep -r "eval" /path/to/php/files。
立即学习“PHP免费学习笔记(深入)”;
3、重点检查这些函数是否与用户输入(如 $_GET、$_POST、$_REQUEST)结合使用,这通常是代码注入的标志。
二、检查base64编码的可疑字符串
攻击者常将恶意代码通过base64编码隐藏,以绕过简单的文本扫描。
1、在源码中搜索 base64_decode 函数的调用。
2、定位到相关代码后,将紧跟在 base64_decode 后的字符串手动解码,查看其真实内容。
3、可使用在线工具或PHP命令行执行解码操作,例如:echo base64_decode("编码字符串");。
三、分析文件包含行为
不安全的文件包含可能导致远程或本地文件被加载执行,形成后门入口。
1、查找 include、require、include_once、require_once 是否使用了变量作为路径参数。
2、特别注意是否包含来自用户输入的文件路径,例如:include($_GET['file']);。
3、确认是否存在动态拼接文件名且未经过严格过滤的情况。
四、检查异常的变量赋值和加密代码
某些后门使用混淆技术,使代码难以阅读,但仍有规律可循。
1、查找大量使用 ${"_"} 类似语法或动态变量名的代码段。
2、识别是否使用了 gzinflate、str_rot13 等压缩或编码函数包裹代码。
3、尝试还原代码逻辑,将压缩或编码部分解压后分析其实际作用。
五、比对原始文件版本
对于开源项目,可以利用官方发布的原始文件进行对比,发现被篡改的部分。
1、获取相同版本的官方源码包。
2、使用文件对比工具(如 diff 或 WinMerge)逐文件比对。
3、重点关注新增的 PHP 文件、图片文件中嵌入的代码,以及非标准命名的文件。
