|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
5 |& {; l4 i0 ^% L
1 ?5 C1 U+ X- A {' p% F先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。& Z9 C9 O0 S) {6 s+ a% W$ y
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
4 @7 M0 N$ ^2 w9 R" c1 o, Z 8 X% e6 W( Y# N% S
find /var/webroot -name “*.php” -mtime -10) Q% S: a. h5 J K0 k* t+ ^" W
/ n+ d8 P9 x7 k' W& f9 R' p命令说明:
- z+ ~1 }- g. |' s5 M, A9 X/var/webroot为网站根目录% A; _7 }4 [4 Z6 [( B
-name “*.php”为查找所有www.2cto.com php文件
( q- ^% K0 n% y-time -10为截止到现在10天
; ^4 S( w9 W9 M& l; O, B# c+ e ( W7 S+ m4 E8 s/ U3 V
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:6 p' T: s, j, Q! r; W5 |
e5 J% y7 c# K1 gfind /var/webroot -name “*.php” |xargs grep “eval” |more) V! Q# K/ U( v4 p$ E/ s
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
0 t" l. N% e: x$ P, h6 ^find /var/webroot -name “*.php” |xargs grep “passthru” |more
; @$ C7 X6 o* _3 E8 M % [3 X* r6 y2 x' a9 ~* W7 B( c
当然你还可以导出到文件,下载下来慢慢分析:# b) x% `$ M/ R" x
$ r( E8 s. V: I9 q8 R, o3 {
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
+ i0 F* t! H; ^( P, ~6 L 6 O' C/ A8 _ P0 V
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
+ n: l% r0 L* l |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡