|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。* l. }* @- C* H, F0 p4 E3 @6 _2 I1 G
0 K2 m9 W% I( b先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
/ {( `0 X5 K- Y7 F* A假设最后更新是10天前,我们可以查找10天内生成的可以php文件:; P! O) y X' B
* }+ b! U+ F4 _1 F& E1 kfind /var/webroot -name “*.php” -mtime -10# O" }: O5 d9 s1 V% p
. M" O# n, l& ^, o5 t
命令说明:2 w$ ^2 ]6 A# u- H1 ^- A. C
/var/webroot为网站根目录/ E5 V% B; ?: D y* }6 R; K
-name “*.php”为查找所有www.2cto.com php文件
& N$ a' l: A5 S4 R: Z" _& M* D-time -10为截止到现在10天+ Y& r: l, j" i
/ y2 i3 [/ r2 ]4 D ]3 k* h
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
" w8 n7 P+ L; f. Q" z8 q- V! F
9 h2 r- j, e. _, z4 Y0 E4 rfind /var/webroot -name “*.php” |xargs grep “eval” |more' H5 j7 v9 m4 O8 _0 a. c1 v
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more! m3 s- w* I) C. a2 I5 ]8 H
find /var/webroot -name “*.php” |xargs grep “passthru” |more/ l7 F( H ~) |8 G4 P% [' J4 ?
5 T( w; z( T( n. k9 n2 G: O
当然你还可以导出到文件,下载下来慢慢分析:
1 P: `7 @: I/ D4 B$ W3 r; M & d! }/ Q. d9 @) q9 F, {3 @
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log6 f1 k" i3 V+ J' W
, Y2 C+ H+ D- C0 y这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。. _/ x1 ?4 v+ n, b5 u! U5 L& y
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡