|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。, o# T" N' }' {& |/ \% i) P
0 M9 L3 q; G! k# Y8 }5 z6 Y先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。) l0 r- d2 Z+ \% U
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:4 ~( ^4 F- z' u# Q: F6 a1 b# ~
6 B$ c% v( p7 Y- Y, Yfind /var/webroot -name “*.php” -mtime -101 b* E+ N) _; C0 Y9 i+ X
8 H' @7 l! T) O1 _* {! J
命令说明:1 {! q; c0 N' w$ m7 I3 W' m
/var/webroot为网站根目录1 W' l& H5 c0 `
-name “*.php”为查找所有www.2cto.com php文件
! }3 S4 ~" u5 |# z$ t-time -10为截止到现在10天
( {$ ]' K" T- Q3 k% m( a ; _# Y' u& E- C( y% V z0 Z
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
, d/ x \. ^5 n# f8 s) b4 @
" F6 v) N' c* v* Zfind /var/webroot -name “*.php” |xargs grep “eval” |more
" h" O8 \0 I0 j. Cfind /var/webroot -name “*.php” |xargs grep “shell_exec” |more [& T8 \' }8 n) Y. i, W* L4 x
find /var/webroot -name “*.php” |xargs grep “passthru” |more- b# ^3 g: ~4 ?
) [0 T5 q3 c: T, G7 q* l+ x
当然你还可以导出到文件,下载下来慢慢分析:
) I5 u9 T3 d) Z; F/ A; A
. b U/ T; k9 \find /home -name “*.php”|xargs grep “fsockopen”|more >test.log& I+ ^$ m5 @: S; K" d
, ?/ W9 E. H, d这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
" O7 n. p. d% C& b* A1 u" Z; Y |
|