|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
4 V, E. G0 D. K4 g, J( R, H" w! K2 v
7 w; L4 @2 O9 M! J2 K2 O先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。' U" i% o; G6 T' Q( c! U" o
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
" x0 r" h9 R8 n+ H$ b6 B
0 Z# E1 n9 u$ ? S3 L! u8 \: Gfind /var/webroot -name “*.php” -mtime -10
( S8 r v& o+ J# E
& [! u3 |5 I; F. w3 E- @命令说明:6 |$ U2 g. \- U4 Y* w( ]$ g
/var/webroot为网站根目录9 c! M- a" t. B! Q; I3 ~- ]
-name “*.php”为查找所有www.2cto.com php文件
! J, |! v6 P3 j% W" S8 F, T1 _-time -10为截止到现在10天
4 W/ N; w8 q3 H
# X: P. Z3 N \8 c如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:* Q) s2 H) [8 ]4 ?9 Y- Q
0 K% e8 U9 }' l- H1 }6 U
find /var/webroot -name “*.php” |xargs grep “eval” |more
* U1 n; c) | e5 E9 j+ ^find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
% c: A: r9 P/ b! Y) r) i# ufind /var/webroot -name “*.php” |xargs grep “passthru” |more
* L9 B- ^+ f/ H5 N ) e+ Q( G7 I7 R5 h ^9 h
当然你还可以导出到文件,下载下来慢慢分析:
" F& N7 a2 S5 X" x * l* @+ K5 I4 } r$ c6 y
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log) |& |6 S! A# f% y- y- n9 g! S$ I9 [
& V0 X* V% k n0 l3 w+ t. h3 L这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
' c+ w6 f3 M, W' H' Y |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡