|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
9 y$ B6 V0 X# E* H
- G, c7 g/ x9 O2 B( v% M, C先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。9 g+ w- W- p- k- L6 v: I, J
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
3 W0 j+ S9 D: `3 ? 5 K! @7 O, Q7 p7 e- ]2 V" N" X# g
find /var/webroot -name “*.php” -mtime -101 @: \3 f$ P. g
# v% J# G/ l6 j- W0 r命令说明:
" e/ p$ X: f( _/ h/var/webroot为网站根目录
& T( H1 {3 a% E+ a+ u-name “*.php”为查找所有www.2cto.com php文件
4 f& r; K& c6 ~8 c-time -10为截止到现在10天! R3 a! W b7 p# W& V0 d( v: G
# Z+ W5 Q/ x# F9 b4 P如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:+ ?3 d0 u3 k" O8 C) b
+ J4 l$ D, E; [; O
find /var/webroot -name “*.php” |xargs grep “eval” |more4 \, l6 z- L/ V& i! T* \6 `, y1 E0 ~
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more; _- }+ Q8 S5 s5 a
find /var/webroot -name “*.php” |xargs grep “passthru” |more: y) {# r/ j7 t2 z) v6 }
! F/ Y: D. w% Z+ S9 X8 O6 b
当然你还可以导出到文件,下载下来慢慢分析:; f' B1 z0 m0 c; {& `2 `
$ B/ b, {9 {; Y% f/ C. R
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
& q2 c, w% k. b( z# ~
2 r1 r4 w2 h/ ~& C这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。6 O+ Q9 j7 ]# o0 r
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡