教你使用Beyond Compare查找网站后门和木马

很多站长不知道如何去查找网站存在后门，文件太多了，难找？今天教大家一个方法，如何快速定位可疑文件，快速识别出网站的后门和木马，所用到的工具就是Beyond Compare。

   Beyond Compare是一款比较软件，它可以进行文件夹对比，文件对比。包括本地电脑和FTP上远程文件夹对比，这样就方便了许多在空间上搭建网站的站长进行使用了。

下载地址：https://pan.baidu.com/s/1AB9M7T693Ksj5HlADZn9FQ 密码：3v2v

  在装好软件后打开主程序，程序主界面如图:

 

我们选择文件夹比较，点击后如图：

 

可以选择两个文件夹，其中一个是自己网站上的根目录所有文件，另一个文件夹从官方网站下载与自己版本对应的版本。点旁边的小三角可以选择FTP上的文件夹（需要FTP权限）。选择完之后就自动进行一个对比了，如图：

 

我们全选文件，右键点击比较内容，选择二进制比较，点击确定。然后剩下的，点击会话右侧的显示差异项，会排除相同文件，那剩下的就是可以逐个去排查了。我们发现有红色和蓝色的，红色的文件说明两边文件夹都存在的文件，但是内容不一样，一般为补丁程序，但也不排除攻击者直接在上面加上后门，但是我们可以先排查文件。蓝色的则为对比的另一边不存在的文件，我们主要是先看蓝色的文件，可以先把jpg gif png htm html txt等格式的文件排除，对图片格式点右键，然后点排除，选择排除所有此格式的文件。然后基本就只剩下php文件了，其实剩下的也不多了，有些php文件可能是自己加上去的模板，站长自己最清楚不过了。那剩下的很有可能就是后门或者是木马文件了，如图，我发现了在uploads-userup-下存在一个从未见过的p h p文件：

 

我们打开一看，很容易发现一些敏感的操作，进而确定它是个木马文件：

 

也可以通过浏览器去访问它，一般这种木马都需要密码登陆的，发现有类似的密码登陆框，或者有一些文件操作，基本就可以确认是木马了。而后门一般是一句带 e v a l ( $ _ P O ST [a ] ); 的p h p代码。但是这种后门可以千变万化，需要大伙去仔细发现了。但是不管怎样，我们已经从茫茫代码中排除了很多文件，要寻找剩下的可疑文件，是相当容易的，稍微细心的站长就能通过各个小细节发现此文件是可疑的，例如修改时间等等。

    总结一下，Bcompare这个软件还是相当强大的，能够进行一个深度的比较，对于数据量大的网站来说，无疑是手工检测网站后门的利器，希望通过它，能够让更多的网站回归纯净！