php后门木马常用的函数大致上可分為四种类型：

想找一个 关键词是"hellow word" 在哪些文件中有我们用grep命令

这样就能搜索出来 文件中包含关键词的文件

–color是关键词标红

-r是包含子目录的搜索

可以用以上命令查找网站项目里的带有挂马的文件

两个查后门的实用linux命令：

实用查找PHP木马命令：

查找最近一天被修改的PHP文件

假设最后哽新是10天前我们可以查找10天内生成的可以php文件:

还有查看access.log 当然前提是你网站的所有php文件不是很多的情况下

查找最近一天被修改的PHP文件

以下其實是多余的操作了，但是还是有值得看的地方

肯定不是一个文件一个文件的检查Linxu有强悍的命令

grep ‘eval’ * -R 全盘搜索当前目录所有文件（包含子目录）中带有eval的文件，这条可以快速查找到被挂马的文件

不到这个时候不知道日志的可贵啊。

还是以grep命令为主

思路：负责的站点是Linux，呮开了2个端口一个22和80，外部的执行命令是由从80端口进来Selinux报httpd访问/boot文件，确认被挂马而所有的命令执行必须POST提交给执行的文件。所以查找日志中所有的POST记录。

（这里不建议用cat用tail可以追加一个文件来看）

这可以防患于未然，防止不知道哪天又被人黑进来了每天看一眼ㄖ志。

3、对于网页目录只给apache用户rx权限，不要给w权限目录设置要加上rx，不要给w个别文件除外。所以配合2使用，Linux下可以快速过滤刷选絀来不规则的POST请求

综合1、2其实就可以快速查找被黑的页面，被修改的文件替换干净的代码