|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
; [5 l; \" o, K5 R : V' f8 l) D% {8 \* X* W
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
1 `- {7 { W/ K9 h( p假设最后更新是10天前,我们可以查找10天内生成的可以php文件:4 E1 w2 a7 J& ]" A. K# O
) G: i5 M2 @; v, \6 P! d6 Z+ v
find /var/webroot -name “*.php” -mtime -105 {- l+ D- ?0 F2 X8 h/ ?
2 o. W' J/ E, ?, T( R: D6 o
命令说明:3 t6 a; k% c: k% S; h6 j) _. X5 b, |
/var/webroot为网站根目录, V+ c: F6 @8 b9 F
-name “*.php”为查找所有www.2cto.com php文件( ~- r D ]- d. {0 F: X( a
-time -10为截止到现在10天
+ X$ a' }% E9 [3 L: H i7 Y- ~ B' U1 M# D9 D0 `8 L0 `
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
) G" F" R/ i0 a
6 S2 z9 D6 ~$ c* N qfind /var/webroot -name “*.php” |xargs grep “eval” |more m/ J! o+ l" ~+ e1 n& |) `1 E
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more4 i2 \9 e) C k+ v* H
find /var/webroot -name “*.php” |xargs grep “passthru” |more
& b6 D' y% o, Z $ L% H" ^, F {5 g. {9 G8 n( G' p3 U
当然你还可以导出到文件,下载下来慢慢分析:, G1 V u. i. M( a& f2 ?" B8 R
2 a$ e3 W2 t6 O4 p2 _
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log, ], L' d* a/ ^0 R7 S
@, {4 g, d1 q* q2 m6 _这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。& e& _& ]# i* _" \# n" j% y8 M
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡