|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
4 L; o( ]) O. M
% `0 @" J- z, O- T先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
4 I6 Z: } M/ W7 V' e8 R" L$ v8 f假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
- s2 V# l& T' l ; b5 {6 z w/ F9 `, F0 i2 K" O: V
find /var/webroot -name “*.php” -mtime -10! e' @, W: r4 @- S i9 @
% r0 L6 B u& m* _命令说明:$ e: A: Z8 J9 t! D( G
/var/webroot为网站根目录
/ _. G' p# s; b. |2 S: F-name “*.php”为查找所有www.2cto.com php文件- x2 a( w6 S1 a& ~6 I) c
-time -10为截止到现在10天9 q5 `; o* K* B% x( r6 x
6 n y) ?& J9 D
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
( D- {' w& i) `& C( v 2 ], K6 A$ ?. N! A& \6 l, d- P: ?
find /var/webroot -name “*.php” |xargs grep “eval” |more0 j# z0 M3 N2 e" F* ?4 ]& B! y6 \
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more4 j) u; O3 N2 C" B
find /var/webroot -name “*.php” |xargs grep “passthru” |more& K% T0 p0 r: P4 { h
* x0 F/ g" q4 N5 L. a* C& w
当然你还可以导出到文件,下载下来慢慢分析:
3 ~7 l! s: C7 t d, a& N! I
{' ^& a- Y1 s2 c$ _) Vfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log! y5 k3 Z& F5 i4 ^1 O6 D0 A
2 e: K [/ A6 s
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
" S3 F6 ^1 Q) ?& _( { |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡