|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
. T6 X2 ~9 a! p! X! [: }9 i $ u3 V) O; n- |* i
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
& o% g7 {" d& j' P) f. l* P) D假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
# x) s' P* ^6 {6 l1 M1 S
5 i' ]$ R( X( n2 Q( r2 nfind /var/webroot -name “*.php” -mtime -10
r4 `' R% e8 y $ r$ i" r, l! [5 [# {& E# z4 t3 e
命令说明:
5 b# p- t4 l$ L2 l/var/webroot为网站根目录
1 j3 N e+ L0 O( u( z-name “*.php”为查找所有www.2cto.com php文件9 I( ~/ Y' A# T
-time -10为截止到现在10天
* Y& q0 f. v \7 M6 p$ c * ]/ W/ e0 ]- \* e E
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
& b: u4 v$ y0 }; s; V
" c* N2 E& D8 G, ^7 r4 F/ ?% ufind /var/webroot -name “*.php” |xargs grep “eval” |more3 N$ W) ~- H% {+ ~# Z+ U
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
% t# n9 y% v, P$ F0 Sfind /var/webroot -name “*.php” |xargs grep “passthru” |more/ V2 Q# {/ r' k8 m- F: W
7 m6 j% k- }5 j p当然你还可以导出到文件,下载下来慢慢分析:( N- \9 a. q" V% e0 d; h. j# J/ L6 a
. g3 f! P7 `/ F( g3 ]& R) D
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log5 n. r7 x! } Q8 ^0 I
r! c6 I8 D. G% F这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
- y( A: c7 _" S* B7 O# ^/ i1 R# ] |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡