|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。$ b, n5 w" ^' F6 o
/ M3 `4 V2 |' n2 v( `+ N1 Q% I
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
l- W/ X. F6 X假设最后更新是10天前,我们可以查找10天内生成的可以php文件:% ? J: ?4 G% _, J b
) ]- Z4 A& B# [$ [7 f& @' U1 ^
find /var/webroot -name “*.php” -mtime -10+ A* f- [" W' j0 r
6 U1 K1 j, _' ~+ ^命令说明:# K. ~* X: Q% c- e
/var/webroot为网站根目录
* M, T( I/ b7 ^# q9 N( v$ N-name “*.php”为查找所有www.2cto.com php文件6 Z. S, C6 D+ Q$ f
-time -10为截止到现在10天
, k2 y# B. s* Z9 A* ~2 l! L7 c 7 w* ~+ F2 U; \
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:# p) @- P0 T: U4 v
/ ~1 m+ H! y5 ?4 S1 I& n
find /var/webroot -name “*.php” |xargs grep “eval” |more5 p: Q i. w0 L; d; d4 I
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more# z3 B d4 j6 U. M) m6 \+ q8 t) p2 [
find /var/webroot -name “*.php” |xargs grep “passthru” |more7 H% U, d; w4 `0 M( F Y
5 h& q* a% z/ I4 t当然你还可以导出到文件,下载下来慢慢分析:) t5 I* k# S3 L/ \0 b) p7 N( q6 R3 c
% l2 L1 a; C' i/ K
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log ?4 M" K b4 J/ ]7 M2 Q# R6 W7 w: i4 h
b* O3 N: |4 e" b8 z* |
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
4 g2 n( U ]% U) W) Q8 [( w9 f |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡