|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。* {2 n" ]0 m7 ~
9 Q, \+ i3 E7 |5 Q* m. j: b* g: F' E
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。7 @+ E. M1 Q% y' S5 C, @# b
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:! X9 i) |# u- A- t3 l" l
7 O! O/ F7 o& C1 t
find /var/webroot -name “*.php” -mtime -10
6 R/ ~9 h0 ]& p) g- I, G0 q 9 g$ |9 o3 f% r# o
命令说明:
* w4 N4 x5 k* H/ I0 _0 `/var/webroot为网站根目录1 z: b, d0 d: r. t, t
-name “*.php”为查找所有www.2cto.com php文件
1 n0 ~1 r8 S& \) l9 \6 ?: j-time -10为截止到现在10天( W. I3 C$ \+ {3 R% v& ^$ @
+ x, N4 x; M6 e* m1 N! e
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:0 s* z: j3 l4 f; y
5 }7 ^/ H1 s8 w- u3 J. A6 I" p7 b
find /var/webroot -name “*.php” |xargs grep “eval” |more% h9 n7 h) P0 N! P d
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more+ J5 }% _; a' q# A
find /var/webroot -name “*.php” |xargs grep “passthru” |more
6 U, l5 v& c% q$ d; I $ A% a7 d# G5 }$ k
当然你还可以导出到文件,下载下来慢慢分析:
3 A/ O4 f' c2 u 9 M: d" V; t7 ~9 Y. J% x3 H
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log' ~2 M4 N5 G% a0 U
& j/ |9 q! t, D$ n: V
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
9 q) x; a9 a1 q l. [ ` |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡