|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。$ l8 { u4 K# O
+ L7 g6 N/ L% R3 R5 |先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。/ B2 [$ K5 i8 ?+ n# w' P
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:/ |: v) u3 h2 `# D4 S; j* g
4 M7 q( A+ A9 e/ Q
find /var/webroot -name “*.php” -mtime -10' }. X+ L P( T3 w8 K
6 x" ^( f' e' S8 z6 T! ]2 h5 O
命令说明:0 Z; z6 L; b" x) x6 [
/var/webroot为网站根目录
' m9 G9 k9 O2 f3 t4 ^% }-name “*.php”为查找所有www.2cto.com php文件$ S! q: |( v! u% |+ E
-time -10为截止到现在10天
" F$ o' e( q ]; V! x* ], `( v
: I" a& E$ _ C( n) G如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:1 _# x7 B: c1 K) Z% A
/ f9 x( H# k8 y& x& R, P6 ]find /var/webroot -name “*.php” |xargs grep “eval” |more9 |8 Q' D2 }1 q4 P5 k5 m
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
2 L. ? S% p O$ _find /var/webroot -name “*.php” |xargs grep “passthru” |more0 x( n- u: v0 K7 q" X/ k% C ?3 S9 j
6 q! X- F/ C, `! a当然你还可以导出到文件,下载下来慢慢分析:
1 w' U% r: R0 v2 e9 }. ^, z' a ) X7 l( S: x! A1 ^$ g6 ]
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log4 ~/ o% J, L( K Z
! w" l$ ^5 @2 d6 E2 Z- d! g1 _这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。% k# C3 ] a1 r% ]: t
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡