|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。3 o4 c' u% y; k8 `! Z _, W
( G& B' r) J; `9 T1 ?4 \
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。$ E& C: G* ]5 h
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:3 \, g3 [% h4 x$ j& s' r
7 K! f0 G" \) M- q
find /var/webroot -name “*.php” -mtime -10
5 I- {8 P+ g+ ~- K# Z2 A( P . o& @$ O& w: c [- d1 j7 D
命令说明:# V( i6 U0 K% t) }/ u+ J$ L2 Y; d
/var/webroot为网站根目录
3 L |3 ~6 \( E+ I/ [-name “*.php”为查找所有www.2cto.com php文件
# p \7 r, Q; M-time -10为截止到现在10天
& L! L+ K G5 d2 ~0 @$ A0 x
% E1 _9 T, A ]" [: [如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
6 ]+ G0 |4 ?$ H$ L, p j2 C5 b 0 B7 l5 G1 d X! u" z
find /var/webroot -name “*.php” |xargs grep “eval” |more
+ r& { W8 m$ G0 k C1 u6 z. afind /var/webroot -name “*.php” |xargs grep “shell_exec” |more- s J; y8 W% S, a
find /var/webroot -name “*.php” |xargs grep “passthru” |more
6 t# T; g) A W4 Q4 J4 a
* p+ p8 ]% _$ P, b& x6 H当然你还可以导出到文件,下载下来慢慢分析:# m: K$ m0 A9 {" [( d
" n) `5 l7 x! p& {+ ?. J& u5 ~
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
1 J# C- m5 [6 u+ K % {: ^+ l: i+ @9 Q6 l" o5 `; s
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
! R( Y( l: B& U) _3 S _% M |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡