|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。% V0 J3 u L/ p- Z/ s- L
5 X7 I0 f' a) n5 i( l, B( O
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。: r: `5 H! F/ R( D, P" |
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:4 \# K1 ?3 t9 C+ v. T' P
. X( Y- U+ ]# ?0 J: L7 P+ tfind /var/webroot -name “*.php” -mtime -10$ M4 d" j/ Y# c7 ~
' Q" v7 f' P# M& R
命令说明:
; Y: a: K" w+ Y" }. |, ~* Q4 ?8 |& D/var/webroot为网站根目录
4 N. s4 o& N N( C; ?-name “*.php”为查找所有www.2cto.com php文件/ K- o( ~4 [* Q# V1 f8 z( C" ]# Z& N
-time -10为截止到现在10天
, U3 d, c) |: A a 2 E1 a) X+ s8 ^
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:. _# y5 ?7 ?% d; h. Y
: o$ W. [$ x3 o+ [6 m0 d' q+ e
find /var/webroot -name “*.php” |xargs grep “eval” |more: H" K3 j4 i' ?# Z* ~7 t
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more9 V- i/ i+ s9 y; O! C- x9 H: U
find /var/webroot -name “*.php” |xargs grep “passthru” |more. d, D+ a& N2 S7 `, l! X
; ]8 V/ Z! ~5 D" A9 w
当然你还可以导出到文件,下载下来慢慢分析:. ~) S/ O4 x7 A4 U# w# G. E
1 R& n8 Y" v, ?* N$ A7 m" _0 Mfind /home -name “*.php”|xargs grep “fsockopen”|more >test.log: J, `& p+ e8 x2 R
$ ~; i% W% g. u8 R( Z8 D% L
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。, d$ @. R' K9 @ A; z$ _. y
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡