|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。9 k' \3 R# F" R n8 ?# f" l) n# J
! z% z) O3 h* d3 u8 b先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。% ?+ F u9 `5 l) t# V9 c
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:' J8 s$ g* V# F8 P/ m( `2 j
- }3 O- G. y) K' E2 `3 Wfind /var/webroot -name “*.php” -mtime -108 j( c0 a) k9 k% U
|- ?( H$ B( F命令说明:
" d2 C5 @( s. }) t5 q" w/var/webroot为网站根目录
- Y& U' \, P) N# B-name “*.php”为查找所有www.2cto.com php文件' `% I$ v- J* l! M6 b1 R/ u! i
-time -10为截止到现在10天
7 J/ o( _( f1 b 8 s9 o, Z1 n6 Q
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:$ M# _8 b+ d$ L; Z) k
, Q5 {! Y6 f; `5 t7 A' qfind /var/webroot -name “*.php” |xargs grep “eval” |more& ~! R* e2 }2 k4 t
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
! c4 U6 |7 E0 d/ S p7 c( z4 afind /var/webroot -name “*.php” |xargs grep “passthru” |more
1 Y) q9 h' ^! I. ^: @$ X8 w& z " y- [" D3 w$ @+ G. V
当然你还可以导出到文件,下载下来慢慢分析:
) H# L5 R, m% e8 Q8 [2 F- J7 Z
& ^, i/ H% Q( b# Bfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log
. K% u& ^5 ?; u4 Y9 j9 g# @ 5 n# V% ~; U, l. @: N
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
2 F0 z# |7 E2 a6 h [ |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡