|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
" T% g ?# s V, Q. f
# t' ]8 e; \2 O6 O2 b8 r) Z3 C先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。7 S8 Y9 T0 [- u( `
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
$ K, B6 w+ a! T3 e/ U) | + M! t& H1 y) @" B% ]& @; N* l1 j. J, z# o
find /var/webroot -name “*.php” -mtime -10
5 @! ?) o" z& @ , X! x% G% @1 W: }6 N/ k1 k
命令说明:
# e, O, R7 p6 [4 @$ I/var/webroot为网站根目录
9 T1 E3 T3 Z8 \/ t* r0 Y9 P-name “*.php”为查找所有www.2cto.com php文件6 E) H+ X7 n& @' Z8 | ^( A
-time -10为截止到现在10天- l0 x7 O; n0 h+ K3 X5 G
' p: `$ r* G; d, K. \
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
$ W# B2 }4 @# Q* m! X; z: q 2 h' M3 @+ h; P$ F) q% l! C
find /var/webroot -name “*.php” |xargs grep “eval” |more
& {% Z+ H. D- B# o! Efind /var/webroot -name “*.php” |xargs grep “shell_exec” |more/ o3 g/ C8 E$ L$ t$ [5 Q: n
find /var/webroot -name “*.php” |xargs grep “passthru” |more
$ J" _- O ~8 J* s 3 a3 b$ a9 B' t) ^
当然你还可以导出到文件,下载下来慢慢分析:. q- o3 b5 ^+ g' J) L5 s2 t! i
0 A2 f1 w0 Y4 z; c) s& I" sfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log( A' |; q# \8 R5 l
& B; K$ S. l" U( i8 S3 `
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。! `( y, k5 a3 E8 W) j7 R
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡