|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
# c$ o* s( V9 Y7 Y3 @5 Z1 P ! ]3 o& j0 S8 h; M; t; K0 L1 u
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
* ?2 I x* l W3 k假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
3 R" f. k* E* e8 v
; n' i- z7 T* p2 [8 S2 Cfind /var/webroot -name “*.php” -mtime -10) ~# W: d) r3 k- a# H8 u% {' Z0 a4 v4 q
3 T7 W: T* ^5 X2 a2 t
命令说明:* {0 \* X. h2 x+ X) p
/var/webroot为网站根目录
4 j$ r5 x2 M7 X% l' X; b$ W2 C& k-name “*.php”为查找所有www.2cto.com php文件
h* D/ r$ M2 k) G8 G9 I+ o. t* Y-time -10为截止到现在10天
5 c& `& W; ?+ ~5 d) f
' }# e G) } O; D8 b$ h如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:/ \) r- X4 _' }7 J# p: D; b- |
( T$ N' [) y& ~7 @% hfind /var/webroot -name “*.php” |xargs grep “eval” |more3 B1 p1 x" z, [& w
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more, i; w: ?: i+ Q. r* g( z
find /var/webroot -name “*.php” |xargs grep “passthru” |more
$ L( d \8 L; e. ]# V/ w
$ H+ G$ }7 z6 X1 X9 L当然你还可以导出到文件,下载下来慢慢分析:& E3 o6 f! w6 b" o" |. ]1 x
3 Y7 E9 Q' z$ `1 [5 e+ H& ]3 xfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log' C3 [! U! w) j; j8 z+ Z9 j# P7 c
9 s/ R+ Q. P2 q3 u这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
5 {- `" v, Q% d( h9 J |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡