|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。% Q; N" `& W! x9 m' _3 ^2 y
0 S7 t( e1 K( Q+ ~! {* s
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。( Z1 u& W8 {5 z
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
7 T$ X1 o: f+ H8 e; o: O * G! \8 S6 v) g) }7 s( h
find /var/webroot -name “*.php” -mtime -109 M# ]% ~( ]: q4 X0 q, i& Y( o
' s8 j1 d4 j) R0 q! G1 C5 a: ]
命令说明:
; o9 m `) Y+ W1 I- a/var/webroot为网站根目录9 `8 _; ^' f# o) n$ G4 R
-name “*.php”为查找所有www.2cto.com php文件
. t- ]$ S% T; {3 J" D* _/ q* J" H" F-time -10为截止到现在10天" v1 g- F0 J0 d5 z' O- i. J
, N/ p3 t( O) R2 [. ^/ ?" c7 |0 N
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
; j: `; A% ~' o( \ : P8 g2 g) Q' Q, ^% g5 P5 g
find /var/webroot -name “*.php” |xargs grep “eval” |more
7 z! C% W `7 f. ^) |7 Bfind /var/webroot -name “*.php” |xargs grep “shell_exec” |more
5 G/ |( x- L/ L, Kfind /var/webroot -name “*.php” |xargs grep “passthru” |more
7 J8 [/ I9 o# _ & F( z2 L$ g, b$ R/ h
当然你还可以导出到文件,下载下来慢慢分析:
$ o) d5 n$ B/ a* V2 h# n4 _. f ( h# | X# C/ |/ e, J2 F
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
7 ^5 M) h4 Z! B, C
2 m+ q) W, \$ m) ~5 S; i# r! g这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
! u A$ _! ]- h* x. F |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡