PHP后门不会因版本升级自动消失,主因是未找到真实入口、忽略隐蔽加载方式或误判文件性质;PHP7与PHP8查杀能力无本质差异,仅函数可用性、错误提示和默认配置不同。
PHP后门不是靠“版本差异”自动消失的,删不掉的根本原因通常是没找到真实入口、忽略隐蔽加载方式,或误判文件性质。PHP7 和 PHP8 在查杀上没有本质能力差别,差异只体现在函数可用性、错误提示强度和默认配置上。
为什么getenv()、$_REQUEST类后门在PHP8里更难被静态扫描发现
PHP8 默认启用 opcache.preload 且更激进地内联短函数,部分混淆后门会把关键行为拆到 __autoload 或 __invoke 中动态拼接函数名(比如拼出 "a"."s"."s"."e"."r"."t"),绕过基于字符串字面量的规则匹配。PHP7 的 preg_replace("/.*/e") 虽已废弃,但老后门仍可能残留;PHP8 直接移除 /e 修饰符,这类代码会报致命错误——反而更容易暴露。
- 检查所有含
create_function、assert、call_user_func、array_map(第二个参数是字符串)的文件,尤其注意变量传参场景 - 用
php -l扫描报错文件,PHP8 下大量Deprecated: Function create_function() is deprecated提示其实是线索 - 禁用
eval类函数不能靠disable_functions—— 后门常用base64_decode+gzinflate+assert组合,三者都不在默认禁用列表里
如何定位通过auto_prepend_file或php.ini注入的隐藏后门
这类后门不落盘、不写入网站目录,靠配置项全局加载,所以搜遍所有 .php 文件也找不到。PHP7 和 PHP8 都支持该机制,但 PHP8 对 auto_prepend_file 路径合法性校验更严(如拒绝相对路径或包含 ../ 的值),导致攻击者更多转向修改 user_ini.filename 指定的 .user.ini 文件。
- 执行
php --ini查看加载的配置文件路径,逐个检查auto_prepend_file、auto_append_file、extension三项 - 搜索网站根目录及子目录下的
.user.ini,检查是否含auto_prepend_file=行,注意空格、URL 编码(如%20)绕过检测 - 用
php -m核对已加载扩展,比对phpinfo()页面输出,异常扩展(如memcache但业务不用)要查extension_dir下对应.so文件
用strace捕获运行时后门调用(绕过代码层混淆)
无论 PHP7 还是 PHP8,只要后门执行了系统调用(如读取敏感文件、反连 C2、执行 shell_exec),strace 都能抓到。这是最硬核也最不容易漏的方法,但需服务器有 root 权限且能复现触发行为。
立即学习“PHP免费学习笔记(深入)”;
- 先用
ps aux | grep php-fpm找到 worker 进程 PID,再执行strace -p PID -e trace=openat,read,connect,execve -s 512 -o /tmp/trace.log - 人工触发疑似后门路径(如访问
/index.php?x=1),观察日志中是否出现非预期的openat(如读/etc/passwd)、connect(外连 IP)、execve("/bin/sh") - 注意 PHP8 的
opcache.jit开启后可能减少系统调用频次,建议临时关闭 JIT 再抓包:opcache.jit=off
真正难处理的不是 PHP 版本切换带来的变化,而是后门与合法框架(如 ThinkPHP 的 __call 动态方法、Laravel 的 app()->call())共享调用链路。删之前务必确认函数上下文——同一行 call_user_func($a) 在业务里可能是路由分发,在后门里就是命令执行。
