|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。/ c5 u: ?! R- x
! N; Q* {0 ?& c$ `0 ^' r1 C先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。7 I- l2 c" Y3 \" C" @5 \- Y# S! o
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
8 A* C: W: j1 w/ g9 A* T6 z: u ; r3 {( q+ i' q3 b
find /var/webroot -name “*.php” -mtime -10
' U: i" i. _2 n : o9 l% a' Q% a6 g! K c4 S! y+ F; _
命令说明:3 Y2 D) j# L' @ E! E M
/var/webroot为网站根目录
$ z% U+ V" I. d# D7 r2 I-name “*.php”为查找所有www.2cto.com php文件
3 Z9 b) Q& v$ n) \-time -10为截止到现在10天
% Z5 X v' L; R4 b 1 a' W- C# C. F- p1 q2 L
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
4 e9 v# B3 i) t/ d* `. }; y
; U5 h. n6 y, M5 d0 r9 J( yfind /var/webroot -name “*.php” |xargs grep “eval” |more( A" I; r& J T& h5 z6 X2 X
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
: x, t x; D. l- h& `3 F5 `5 vfind /var/webroot -name “*.php” |xargs grep “passthru” |more, n0 c3 y9 i5 F6 h
" L5 R1 j! D0 B! e" w/ d) S1 z
当然你还可以导出到文件,下载下来慢慢分析:
5 g' r. T& i! f( j' T
& R* [$ h8 `1 i% `3 D$ lfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log
$ Q. i1 |4 H! Y ; F/ b/ Q( o- f; Z" ^ ]% x
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
& @- Z, w0 V% b1 d8 x5 ? N) m) ~ |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡