find /home/webtest/ -type f -name "*.php" |xargs grep "eval(" > /home/test.txt
/home/webtest/ 改成你自己的论坛 程序目录
最后看这个test.txt 文件 看看有没有特别的非论坛程序 如果不是你自己上传的 那请备份 好删除
Find ./ -Name "*.Php" | Xargs Grep 'Eval($_POST'
Find ./ -Name "*.Php" | Xargs Grep 'Phpspy'
查杀木马、后门
常见的一句话后门:
grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > grep.txt
把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。