|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。9 [' b! K- j M5 G) P& q
. k9 @$ ?6 [0 S) ]' c
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。% Q( I' {) L0 A
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
. }/ ~, [5 y1 [& ^6 O 7 Z+ Q7 i: W! `
find /var/webroot -name “*.php” -mtime -10. U: d. [. {* g. ]* h% _, w
, P- e! m5 v- q; m/ L* P$ Y+ S
命令说明:/ c1 F4 l$ C2 n- s# A. \. a' U
/var/webroot为网站根目录
) m0 b& W; v" A) K-name “*.php”为查找所有www.2cto.com php文件9 p- w9 _% Y% j- e
-time -10为截止到现在10天
- s# Y/ B" ^2 Y ^8 } ! I# e6 y' s- ?2 r6 S* ?
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:% T" i2 G7 W4 s$ _, a
; j9 e/ q+ T! ~' vfind /var/webroot -name “*.php” |xargs grep “eval” |more' k2 `1 i5 j4 g$ k: g
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more; ?8 g. ]' J* ]& D9 q
find /var/webroot -name “*.php” |xargs grep “passthru” |more0 N3 z* w4 ~! }6 e4 z \6 S
/ @! a- |' g+ x2 ~& I
当然你还可以导出到文件,下载下来慢慢分析:
) l( y, k8 v1 R! ~7 v; Y 6 t' T: j5 E* q x
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log* c0 d/ M1 \, ?2 N2 H
; y: Z/ R6 Z9 n# ?7 F8 u这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。# C, E, z, v2 r5 m M
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡