|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。' ~/ n6 C3 n- l3 O
( {, f; A- z4 n6 s! ?% e4 n
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
. k; P4 o; [% R0 F# F8 X) t& k/ M9 _假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
9 H, O. D3 V1 N. A. q2 I# J 6 _$ S) G8 f3 P) G
find /var/webroot -name “*.php” -mtime -10) r, r0 |3 W. ^! J- S9 H
$ ?- r$ `4 @4 [+ p' h- E+ g
命令说明:2 c( d" `* _* p6 m0 g
/var/webroot为网站根目录
* ^; n; _: u4 L' Y. P/ t! P: Y$ c-name “*.php”为查找所有www.2cto.com php文件5 Z" D' d! L/ h# ?
-time -10为截止到现在10天9 [3 t: h" P( U0 D
. g* ]7 u3 d( T" { q
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:4 k' u. @' v4 o3 |6 X2 V; r& M
9 {) @# |3 o2 v; ?7 O# _find /var/webroot -name “*.php” |xargs grep “eval” |more
* |4 E7 r2 r2 ]8 |3 I& Dfind /var/webroot -name “*.php” |xargs grep “shell_exec” |more
: M, c( q9 i6 k3 `find /var/webroot -name “*.php” |xargs grep “passthru” |more4 }1 L% ]0 L8 d! ?( ~, [/ ?
- ?7 W# o! d1 F, O r当然你还可以导出到文件,下载下来慢慢分析:, L o3 n/ r* b
- C# P! t# C& Q" _# u9 n) E$ qfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log$ }& B3 A1 y d s- ?
/ \' g" m- N& U9 c, B8 {这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。# u) Z! u5 R3 p, {0 s0 e
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡