Security

From：https://github.com/Yara-Rules/rules 这些规则库，有部分可以用来检测php代码的问题

安装方法见：/security/php-malware-finder/ 软件安装在：/root/php-malware-finder/中，目录文件结构如下： 其中data目录就是存放规则的目录 在此目录中执行以下命令： 1、更新规则 （目前无法更新规则，不需要执行下面命令） 2、扫描目录 基本扫描命令 1. 扫描单个目录（递归检测所有文件） 2. 扫描单个文件 3. 快速扫描（跳过大于2MB的文件） 🎯 高级用法 1. 只显示确认为恶意的文件（过滤误报） 2. 保存扫描结果到日志文件 3. 排除特定目录（如缓存目录） 📊 结果解读 ⚠️ 注意事项

WordPress文件安全扫描，优先推荐是Wordfence插件。

From：https://github.com/jvoisin/php-malware-finder PHP 恶意软件查找器 它检测到什么？ PHP-malware-finder 尽最大努力检测混淆/狡猾的代码以及使用恶意软件/webshell 中经常使用的 PHP 函数的文件。 还检测到以下编码器/混淆器/Webshell 列表： 当然，绕过 PMF 是微不足道的，但它的目标是抓住孩子和白痴，而不是大脑正常的人。如果您报告了 PMF 的愚蠢定制旁路，您可能属于一个（或两个）类别，并且应该重新阅读之前的声明。 它是如何工作的？ 检测是通过抓取文件系统并针对 设置 YARA 规则。是的，就这么简单！ PMF 没有使用基于哈希的方法 ，而是尽可能多地使用语义模式来检测诸如“$_GET 变量被解码两次、解压缩，然后传递给某些危险的函数（如系统 ）”之类的内容。 安装 从源头 或者将最后 2 个步骤替换为 go install github.com/jvoisin/php-malware-finder ，这将直接编译并安装 PMF 到你的 ${GOROOT}/bin 文件夹中。 如何使用它？ 或者，如果您更喜欢使用 yara： 请记住，您至少应该使用 YARA 3.4，因为我们正在使用 哈希值，以及贪婪的正则表达式。请注意，如果您计划从源代码构建 yara，则必须在您的系统上安装 libssl-dev 才能支持哈希。 哦，顺便说一句，您可以使用 make 测试来运行综合测试套件。 码头工人 如果您想避免安装 Go 和 libyara，您也可以使用我们的 docker 映像，只需将要扫描的文件夹挂载到容器的 /data 目录： 白名单 检查 whitelist.yar 文件。 如果你懒惰，你可以使用 generate_whitelist.py 脚本。 为什么我应该使用它而不是其他东西？ 因为： 发 牌