|
|
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。9 }* _: ]: |0 F! e A
: r# T5 a) x" w3 H; V
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。+ I+ n7 E& N5 u$ y" f q1 w8 c
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
) a& j. k3 E5 h. ]" r 8 L& k7 M0 y) [
find /var/webroot -name “*.php” -mtime -10! {# U, }$ u2 h; y4 V
( b9 r" ^- Y" r% Q. W/ \命令说明:2 B7 \/ k9 a H5 h) }2 b2 H- x% G, M
/var/webroot为网站根目录
, g: C9 v$ Y; _& L-name “*.php”为查找所有www.2cto.com php文件' h1 ` ~/ T/ ?
-time -10为截止到现在10天" H- ~# n3 j6 a9 ^
9 V+ c3 |8 e4 r' U4 h' @6 J) y+ U
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
) i' C0 B& z b# o% d$ u0 S* Z( r
. v1 f+ L% j$ a! a# S/ J/ O- Y9 K8 Gfind /var/webroot -name “*.php” |xargs grep “eval” |more
( C0 q- z8 S# Q* i# ?( B+ W% ^. {: Zfind /var/webroot -name “*.php” |xargs grep “shell_exec” |more! k% a2 u" U: N+ O+ S
find /var/webroot -name “*.php” |xargs grep “passthru” |more
h. O# h6 G7 u5 ?$ X: g. S+ g" j
$ T# V$ H l$ Y# q, l i当然你还可以导出到文件,下载下来慢慢分析:
/ w/ G1 S# ?! D3 P: N. W . k+ n0 J2 _3 ]9 D# F; q$ U- C- J
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
$ |9 w* ]) m# { : Z2 P9 X/ p4 u3 a& k
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。/ x2 G( I$ L7 s: d
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-7-15 15:49:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡