|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
2 z6 l U" v# M n# `6 t# { 6 S) s. [4 J" C1 D! s- G: u
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。 \9 Z/ J& ? p) I- B
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
: F4 Y0 U, t9 ^5 H 9 [% a) ^ ^. E8 E0 A
find /var/webroot -name “*.php” -mtime -10
* R" z8 y) Z5 m3 o8 F7 J! o3 y
% L: D# k. W5 D# H. b命令说明:
, v4 `: D" G8 Z! ]+ o/var/webroot为网站根目录1 W% V W4 v5 Q# Q
-name “*.php”为查找所有www.2cto.com php文件
* e6 b6 |0 ^* p/ D) _3 S-time -10为截止到现在10天
' Z( u" D( [5 ]5 W- @. D ? : ?# b2 c" ?% {" K3 {9 C
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
- D' `! q1 I* ~5 I# R
% P- |, }; X" R. {3 q& B6 Ifind /var/webroot -name “*.php” |xargs grep “eval” |more, p$ l, ]' E! A0 C- h3 @- l- H8 ^
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
0 p' ]: X, o$ A. t0 |9 U4 C" X; c; H3 Dfind /var/webroot -name “*.php” |xargs grep “passthru” |more
- f( N0 [( \& @: a" W6 I z0 R- ?! `( g2 U' o4 B ?
当然你还可以导出到文件,下载下来慢慢分析:# _7 O' f8 V6 Z" w0 s/ U
3 Q" F' j7 O8 K8 r
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log. d& z R/ A7 E/ t+ Y. h
- w1 E) X" M- p8 X: d, t' \- i
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
5 I# ]6 c) N6 ? X |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡