|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
h8 W" @$ ]3 Q 9 D+ \' P2 X y# Y, R0 z: w; P
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
9 v: p3 U9 j# P/ [7 n; Q5 y假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
" D1 g& _$ G5 }/ B2 ^; \& j: C z+ g8 x
( N, V# P/ S2 hfind /var/webroot -name “*.php” -mtime -103 ?( o3 k% o4 I" X. t
: @' ]% F! g4 Z( A$ Q" K! Q命令说明:
% m6 ?4 ^( l t3 }/var/webroot为网站根目录! I, }+ Y/ C2 B+ K' E
-name “*.php”为查找所有www.2cto.com php文件1 [0 v9 _- H/ Y6 u' A7 C* A1 A
-time -10为截止到现在10天4 h3 B+ Q" w$ R! E ?
$ g: Q! A( S4 W" D4 `如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
* Q# z# f6 ]. k1 \' K% m; f
, R; m1 L# {& Ufind /var/webroot -name “*.php” |xargs grep “eval” |more; j0 u r& [" X3 H$ w
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more# i6 A2 M$ ^2 }" B6 S
find /var/webroot -name “*.php” |xargs grep “passthru” |more4 F2 Z" q c7 j y7 w! h8 c
/ t. ^6 ^; v1 j当然你还可以导出到文件,下载下来慢慢分析:
+ r. F; t" ~- O A( d
$ a! N2 q& _+ Z' W3 \/ U X3 ufind /home -name “*.php”|xargs grep “fsockopen”|more >test.log0 j8 ~$ ?* _% z7 ^& ~& h
5 [' _. `8 I; x+ E这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
. O+ U/ W' `0 b' H3 J2 D |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡