|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。" V2 _+ ?; ~3 N+ f9 t# p
Y6 ?% {8 } ~7 B, S" C5 P4 b$ h先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。0 ^& }( g7 U- P/ P7 f7 M8 T3 l7 a
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
3 }, E- Q9 O8 x c( h + ~" ]! f) H+ g( d7 p
find /var/webroot -name “*.php” -mtime -10
3 g0 S4 ^" H. f9 `
& _2 J: A7 c+ t' p5 i- n命令说明:3 Z7 D) i% d; z6 n, ~
/var/webroot为网站根目录1 O* E1 X7 u4 @# { G1 k8 O
-name “*.php”为查找所有www.2cto.com php文件
: @' w, d/ c6 o5 i6 h O-time -10为截止到现在10天0 ~4 ~3 S( `8 n% {
8 Z+ }# W: v( n$ y, L1 Q2 \
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:( d9 C9 s; ^! ^3 L! n1 F" h4 b
) v- j) o/ ~6 O1 y( S: Kfind /var/webroot -name “*.php” |xargs grep “eval” |more
# A5 }, m# |) O& f8 T# Vfind /var/webroot -name “*.php” |xargs grep “shell_exec” |more1 v) `: k& r/ {+ a6 |! t) N
find /var/webroot -name “*.php” |xargs grep “passthru” |more' e1 t6 J' j: C* m; q
9 h' ^" R9 W2 M! m. k2 L
当然你还可以导出到文件,下载下来慢慢分析:: o* H. g- R" q9 Y
% ?# }( k( u9 C
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log# M7 J& b8 s/ Q; |& w
3 ]5 D, Z) f) f' L6 ^
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
3 |8 F- r, W5 N |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡