|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。! M& ~4 X1 x m$ K
) o$ T# b4 n" r+ J- T先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
. h# b: b3 P" T3 X5 Q4 V$ y假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
) H+ k- V1 @" b' }' @9 O+ T' h ( S! e) X2 g( @- O
find /var/webroot -name “*.php” -mtime -10 p0 a+ {. \) ^* ?$ p. k5 O( m2 R
% U& v" I4 f" o5 E& V" b+ p; j2 N/ \
命令说明:
+ @3 m( ~/ e1 w) v/var/webroot为网站根目录
V# f6 Q1 Y5 f5 ]-name “*.php”为查找所有www.2cto.com php文件
2 u1 k' ~, y, h5 E, l-time -10为截止到现在10天: {- b& k# h6 }9 y
! t' n3 `# F ?( l如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:7 Y h! t3 n( k3 U' e# A2 u
9 w0 n) l& |' r7 M8 b2 ^( F
find /var/webroot -name “*.php” |xargs grep “eval” |more
( {' g5 u/ ^6 j0 ^find /var/webroot -name “*.php” |xargs grep “shell_exec” |more- g2 w* Z, c2 }' _. @/ C6 j
find /var/webroot -name “*.php” |xargs grep “passthru” |more: s4 Z( Q( P+ I8 F* \% q% g
. H. c# Z5 Y! q0 {: D* A$ S3 i
当然你还可以导出到文件,下载下来慢慢分析:
% e' Z1 A0 | U+ b* x# A1 H 5 @; G4 |0 W1 f+ l2 C* u
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log! }: J7 C$ [; a5 \0 y- |0 J
: k) U6 C4 t3 H8 n) `& M) q& b
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。9 Z; i/ z2 j: C3 r, x! J
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡