|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。, s! K& F, }( d6 A/ C, h
6 s: X2 j2 N' N; O8 u9 N! G; U' o先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
4 ~' X# F9 L& z. A4 q& S1 z& t* `假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
8 i; v; @# p" F8 P- }% J: Y' v3 }
' ]- z ]9 A0 ^7 @7 ~4 nfind /var/webroot -name “*.php” -mtime -10
# l1 Y, c$ \9 w' J0 v& w1 G - M4 }" n+ U7 D* Y0 ^! _# b% f, k
命令说明:
2 j5 Z0 v" Q2 u* j/var/webroot为网站根目录
9 s, ~/ O+ m' u2 ], |-name “*.php”为查找所有www.2cto.com php文件
9 O! p& I" r0 ^! X-time -10为截止到现在10天
) ]6 H: k: l4 O" v! ~ 9 H& w* R- p# q
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
9 q4 X7 X: [; L1 i 1 k, e" N, N; Z) p. h; s6 |: b4 X
find /var/webroot -name “*.php” |xargs grep “eval” |more
5 @% p/ t) K& N3 w& j$ o+ D. ?$ W: K" gfind /var/webroot -name “*.php” |xargs grep “shell_exec” |more
; @: F: G2 d' U Z! O; x' Bfind /var/webroot -name “*.php” |xargs grep “passthru” |more
0 E- H5 N6 S9 }( _, M: W, b" u2 {/ E( e 7 ]$ U5 E' J' t( }" \, ~ G
当然你还可以导出到文件,下载下来慢慢分析:
- u4 o) Q5 p0 K" P0 O# Y
3 A8 `! D; V5 w0 m7 Dfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log
' H" z6 ^$ p! J
" z. }* J# G/ w. S+ d$ \' b这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
1 [2 `7 e \+ ]7 A& d |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡