|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
# c% J% ?) {4 F" @. C
" e4 O( R5 q. S先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。1 {& ^% A% N8 V& @ s+ S& r/ V
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:2 R; U# ^4 }7 n6 I1 m- S" r) @
$ u$ D- b5 |2 o: H4 d) ^% p$ ~find /var/webroot -name “*.php” -mtime -10) U6 g9 @8 {+ e5 N
5 ^0 Q- e! t! K: c/ `. ^7 I. j, Q1 H3 v命令说明:9 J- Y1 I! u% z) y) e0 y" J
/var/webroot为网站根目录
5 K' n; f4 y {* C-name “*.php”为查找所有www.2cto.com php文件
) K( t# l5 `* ~. @; O' x-time -10为截止到现在10天
' ?+ P6 Y& _; \) D5 a
( }0 a, X( H2 ^' M% a; i! y如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
O* w' X# Y9 E8 w, ^ ; \6 F$ N) L$ L! V
find /var/webroot -name “*.php” |xargs grep “eval” |more# Z! ?. i1 c) W! @
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more6 H4 e+ u" E, E, p6 m* T
find /var/webroot -name “*.php” |xargs grep “passthru” |more
, I1 V2 n1 m/ D9 I& c5 o
# N0 o( _% T( V; M# t5 n) c当然你还可以导出到文件,下载下来慢慢分析:3 Q- s( p2 ^+ e- s
3 B' a+ P5 |6 q2 q) F' E/ ~
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
8 {6 V$ }4 l! V
$ u' g! U( ^' Y4 i- A$ k3 I& Q这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
# T* m/ ~2 ~! Z, G' ~! E |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡