应先定位木马真实入口点,再收紧PHP配置、实施权限隔离,并结合日志溯源与定时自检;重点排查/www/wwwroot下小体积可疑PHP文件,禁用高危函数,关闭远程加载,限制open_basedir,关闭非必要目录写入权限。
确认木马文件位置和执行入口
宝塔面板下 PHP 被挂马,第一件事不是删文件,而是定位真实入口点。很多木马会伪装成正常缓存文件(如 cache.php、index.php.bak)或藏在 /www/wwwroot/ 下的子目录里,甚至混进 WordPress 的 wp-includes 或 Typecho 的 var/ 中。
推荐用以下命令快速筛查可疑 PHP 文件:
find /www/wwwroot -name "*.php" -type f -size -50k -exec grep -l "eval\|base64_decode\|gzinflate\|str_rot13\|file_get_contents.*http" {} \; 2>/dev/null
注意:2>/dev/null 是为了忽略权限错误;-size -50k 能筛掉大部分正常业务文件,聚焦小而险的木马。
- 重点检查
tmp、cache、upload、images等可写目录下的 PHP 文件 - 若发现
shell.php、1.php、*.php这类命名,基本可直接判定为木马 - 别只看文件名——有些木马会改名为
wp-config.php但内容完全无关,务必cat或head -n 20查看开头几十行
PHP 配置层面封堵常见木马行为
即使清除了木马文件,只要 PHP 配置宽松,攻击者上传一个新文件就能立刻复活。必须收紧 php.ini 的关键项:
- 禁用高危函数:
disable_functions = system,exec,passthru,shell_exec,proc_open,popen,pcntl_exec,assert,call_user_func,call_user_func_array - 关闭远程文件加载:
allow_url_fopen = Off和allow_url_include = Off(绝大多数正规程序不依赖此功能) - 限制脚本最大执行时间:
max_execution_time = 30(防死循环型木马长期驻留) - 确保
open_basedir已正确设置到站点根目录,例如:open_basedir = /www/wwwroot/your-site.com:/tmp/:/proc/
改完记得重启对应 PHP 版本服务(在宝塔「软件商店 → PHP → 设置 → 服务」里操作),否则配置不生效。宝塔默认部分版本(如 PHP 7.4+)的 disable_functions 可能为空,这点极易被忽略。
利用宝塔自带功能做最小权限隔离
很多入侵源于“一个站沦陷,全站陪葬”。宝塔虽是可视化面板,但底层仍是 Linux 权限体系,必须用好它提供的隔离能力:
- 每个网站绑定独立 FTP 账号,并勾选「限制登录目录」——避免 FTP 泄露后横向打穿其他站点
- 在「网站 → 设置 → 网站目录」中,取消勾选「禁止访问 .user.ini 文件」(让其生效),并确保
.user.ini内有open_basedir=...配置 - 对非必要目录(如
upload、cache)右键「权限设置」,把「写入」权限关掉(即去掉「写」勾选),仅保留「读取+执行」 - 禁用「PHP 执行」的目录(如静态资源目录):在「网站 → 设置 → MIME 类型」里添加规则,将
.php后缀映射为text/plain,或直接在「网站 → 设置 → 配置文件」中加location ~ \.php$ { deny all; }
特别注意:宝塔「网站 → 安全」里的「防跨站攻击(open_basedir)」开关只是快捷方式,实际仍依赖 .user.ini 或 php.ini 生效,开关没起作用≠配置已落实。
日志溯源与定时自检脚本
木马往往通过 WebShell 接收指令,HTTP 访问日志是最直接的线索。宝塔默认日志路径为 /www/wwwlogs/your-site.com.log,重点关注:
- 高频访问的非常规路径,如
/cache.php?cmd=whoami、/images/1.php?a=eval - 大量 200 状态码但响应体极小(
- 非工作时间(如凌晨 2–5 点)集中出现的异常 UA,如
python-requests、curl/7.68.0
建议部署一个轻量自检脚本(保存为 /root/check_malware.sh),每天凌晨自动运行:
#!/bin/bash find /www/wwwroot -name "*.php" -type f -mmin -1440 | \ xargs -r grep -l "eval.*\$_[A-Z]" 2>/dev/null | \ grep -v "/wp-includes/" | grep -v "/vendor/" > /tmp/suspicious_php.log
再配合宝塔「计划任务」添加「Shell 脚本」,执行周期设为「每天」,脚本内容填 bash /root/check_malware.sh。真正有效的防护不是一次清理,而是让异常行为无法沉默发生。
