PHP-如何检测一个网站是否被挂马？

Question

比如chrome访问一个网站的时候，会报告该网站有木马等等提示。
这是如何实现的？
1. 如果是黑名单的机制，黑名单怎么收集才最可信？
2. 有没有可能不需要在网站上部署监控代码就知道其是否挂马？

Answer 1

浏览器、安全软件一般都是采用黑名单机制，他们的黑名单应该是来源于用户举报吧（这里是360的举报挂马的网站:http://wd.360.cn/report/），至于其它的来源的就不太清楚。所以收集这个只能是手工收集了。

而检测被挂马也一般也只能通过软件或者手工去检测，好像还没办法通过程序自身自检。所以在网站部署前需要注意防止被挂马的防预，这是网上提供的一些方法，我整理一下，供你参考：

1、建议用户通过ftp来上传、维护网页
2、对上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程
序，只要可以上传文件的都要进行身份认证!
3、管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。
4、到正规网站下载程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护，并注意空间中是否有来历不明的文件。
10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。
11、定期对网站进行安全的检测，具体可以利用网上一些工具，如安大互联安全检测平台。

Answer 2

网页被挂码的时候，HTML会混乱，造成前台首页参差不齐，被挂网页的网码一般有以下四种：
iframe形式

<iframe src="网马的地址" width="0" height="0" frameborder="0"></iframe>

，“width="0" height="0" frameborder="0"就是大小高度的意思”这样被挂马的网页上就不会显示出来。
脚本挂马

<SCRIPT language=javascript>
window.open("[url=]
</script>

使用js文件

 <script language="javascript" src="</script'>http://xxxxxxx.net/mm.js"></script>

这种呢，是很难发现被挂码，但是容易造成HTML混乱

调用其他网页的页面文件

 <frameset rows="444,0" cols="*">
<frame src="/index.htm" framborder="no" scrolling="auto" noresize marginwidth="0" margingheight="0">
<frame src="help.htm" frameborder="no" scrolling="no" noresize marginwidth="0" margingheight="0">
</frameset>

以上是被挂码的时候网页上会存在以上代码，那如果在检查网页是否被挂马时看到这些代码就可以证明有无挂马的现象了，发现网页被挂马就把以上代码中的任一代码删除然后保存即可。

Answer 3

(客户端)可以检测是否有非源站点之外的跨站访问，如果有，则为可疑。
再进一步对跨站访问的内容进行（URL或特征）扫描等来确认是否恶意。同时，可以人工或自动地以此为基础积累黑名单库了。