|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
, F8 j, A. S# M( L8 h$ j9 F + J2 q! G5 i. N6 g
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。8 u4 f: M9 B3 L. d- B4 u" h
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
- F7 y! X4 S3 D* G
+ H7 {- @/ G" {& O6 vfind /var/webroot -name “*.php” -mtime -105 Y2 ^9 V! |. m, s! M" y* O
$ n, g5 R- @6 U/ x8 z+ w
命令说明:
" T. n# ~" y% r1 K; X# } J/var/webroot为网站根目录
* b4 e- t2 ?* S, |1 m6 o$ B. R& r4 I-name “*.php”为查找所有www.2cto.com php文件8 K# e \+ X+ ?/ |+ B9 B# j# S& ?
-time -10为截止到现在10天0 K6 K2 v: f( D; r" A# r
+ t- ^) L( J2 U0 c; T如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:$ E( s4 M+ H) }* f: S: s; |5 B; q% w
1 c. B. d3 ]) |/ P, c6 {find /var/webroot -name “*.php” |xargs grep “eval” |more
+ c, P# r' j, n8 z1 b3 o1 h: L& d Tfind /var/webroot -name “*.php” |xargs grep “shell_exec” |more
; F% B0 F+ C& ^, r- cfind /var/webroot -name “*.php” |xargs grep “passthru” |more
6 b+ Z( I2 z; p! A
n6 Z4 p+ S# i) C, \# p当然你还可以导出到文件,下载下来慢慢分析:, @6 B2 A' B$ t
) u$ x: W. C" @! h
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
! Z4 T# Q' z g, Y- g* l9 J- A' G
/ ^* v+ W, M! C) D$ @, [这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。& n8 Q6 b. `5 O% G+ K
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡