|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
7 P9 i; g: J2 B6 ~1 ^
+ v5 D* m B9 i1 B) d( s6 ]: T先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。3 K2 E x3 H& q6 p1 _3 M' F0 m
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
. P$ s+ E3 v4 S2 c( { " z& N/ b' ?' o
find /var/webroot -name “*.php” -mtime -10
6 a! X" [6 r- A" B& p0 |2 W( J1 O$ E! I9 U % X! x3 ?0 v0 w# V4 h" I. i; T
命令说明:0 M5 z! t+ a% n+ n+ W. A
/var/webroot为网站根目录
, y: s+ H, Q( i0 _% B-name “*.php”为查找所有www.2cto.com php文件
- f* H. B+ F4 p9 R- G8 t-time -10为截止到现在10天) c- j. T5 F u9 A! Q# ]6 i6 x
3 A2 Z/ u1 ]+ h8 g1 K
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:1 z' E5 J" f4 }1 w8 ~
/ f# M% y, t- i' r& yfind /var/webroot -name “*.php” |xargs grep “eval” |more# F: {4 p- B- D. J, n
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
7 f$ D3 `* _% u* @* b5 {find /var/webroot -name “*.php” |xargs grep “passthru” |more4 i* F/ ?8 g7 G+ r7 P9 d9 c3 e
) n' k# {+ c+ q, z+ U# r0 x7 A
当然你还可以导出到文件,下载下来慢慢分析:. T# Y0 O4 {; u8 T
8 P& M1 T8 V: C5 h* d
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
- T3 z$ P0 r% N# Z$ \* k 9 A- R8 j! \: ]" F1 ?: B3 C; Q
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
" U R) A+ @3 v! M$ b1 d |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡