|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。- ~ S% S! }* w8 X
- s8 e- @3 e+ |7 g先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。% J2 Y( D/ H2 M' |/ n' D7 n
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
* m5 r& B8 O7 G# M7 m" _
4 t3 H( O( j4 ?- ^/ _find /var/webroot -name “*.php” -mtime -10
" x. D( \& F- d. @8 d , P/ N1 W, J6 {# {1 t
命令说明:& m: u9 a/ ?+ C$ P& p: R
/var/webroot为网站根目录5 E& X8 [! Q3 e0 D7 i1 K8 Q
-name “*.php”为查找所有www.2cto.com php文件
; B( A( n. B/ W$ N: p-time -10为截止到现在10天2 C. ?+ m4 S8 k8 G
7 \3 K6 k- Y0 J* H' x0 i
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
0 W; n; @ ~# H' Z: s k+ B1 j
$ q% {; @( F, Z7 c$ M8 ufind /var/webroot -name “*.php” |xargs grep “eval” |more+ I p' [( s% q3 n3 O
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more% |' v3 V# Y7 Z4 Q
find /var/webroot -name “*.php” |xargs grep “passthru” |more
2 k8 m: Q0 F2 S8 E4 ~5 M % y8 ]6 G& R; X& j/ E& g1 T9 }# ]: c
当然你还可以导出到文件,下载下来慢慢分析:
1 u6 o B, l8 {# ], U% g
5 J. c" d! E6 \9 c$ dfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log. z. F% n- O5 e9 K0 Y1 p" }
/ M9 K! U/ H% |/ B$ k
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。 `2 [0 m( g& }% }0 t
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡