|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。$ g% V% j& T" T I% w
N" K: u. O: k9 i/ U% f7 D
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
5 o: g9 D) E; |3 w假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
7 X( o0 z% Z h* s. | . t( m1 S/ D$ `- q/ O$ l
find /var/webroot -name “*.php” -mtime -10
3 V* R, @$ J3 r" T0 `
! d+ f% z( B" ]2 F* ~9 f命令说明:' l- u3 B0 V; W3 J
/var/webroot为网站根目录4 R" G) v( t- b6 L; r
-name “*.php”为查找所有www.2cto.com php文件
2 B0 |# S; P: H% @( _8 B-time -10为截止到现在10天- h) d; L! g& c
. f' n6 f+ e8 M' ^- C7 T5 w& y如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:" B. |# F" i* u9 Z: l) O
# Z/ C2 S! I/ i2 r" K
find /var/webroot -name “*.php” |xargs grep “eval” |more
# L% [6 w) I, z: |' @6 M. U W* Dfind /var/webroot -name “*.php” |xargs grep “shell_exec” |more( a( ~( x2 ~: @ ]) k9 W N
find /var/webroot -name “*.php” |xargs grep “passthru” |more% v- q: }8 p1 {$ v- G
, @0 s! X8 B- |( J3 E- M当然你还可以导出到文件,下载下来慢慢分析:, @) q+ @6 C- F7 ^* N- X* u- s
3 E z: i0 Y& |$ ^3 @$ r/ S
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
: v; Y6 n, v' ~4 G. z3 T ) W2 s2 ~3 D2 o' c$ `
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。$ V+ T2 q0 g8 W r2 w
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡