|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。+ ?$ m2 \# m5 a) b- U% _9 x0 Z
$ v9 f5 ^/ i: G' E0 f
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。1 E3 D' Y0 d0 q) i) ~& `
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:6 [3 w" e5 Q2 t5 }
; l1 n% P) V. @" tfind /var/webroot -name “*.php” -mtime -105 z* Z2 u. u. }! H) R4 I3 q V
! |" @$ }, J0 }( X
命令说明:
1 x( k1 N2 m1 b/var/webroot为网站根目录0 Q: o+ n7 q" Q
-name “*.php”为查找所有www.2cto.com php文件
6 _2 o# h+ f+ d9 r-time -10为截止到现在10天1 z2 u. S/ Z& X
/ e/ O5 A, N; h. ]" E. v3 M# j如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
; S+ J; w$ }, z d
; L5 G/ }! K3 C5 w4 efind /var/webroot -name “*.php” |xargs grep “eval” |more1 m% g% J; @" ?' I! J; k+ N
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
& S; [: E9 w, J) g& _; v9 Ffind /var/webroot -name “*.php” |xargs grep “passthru” |more; @2 s) B2 d# c6 c/ s
/ U" N4 i& b8 Y7 a$ z* ~( K5 ~
当然你还可以导出到文件,下载下来慢慢分析:
- w }1 a2 f2 @% g7 M+ n, H! n, | # }6 c6 C* y. f- I& O! i
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
+ \# R" f6 [; y2 L: I V
C- l+ _0 p% p" y! n; f0 G这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
& W" \4 h% l: A/ ^$ q: Z2 F |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡