| 服務(wù)器被掛馬或被黑的朋友應(yīng)該知道,黑客入侵web服務(wù)器的第一目標是往服務(wù)器上上傳一個webshell,有了webshell黑客就可以干更多的事 情。網(wǎng)站被掛馬后很多人會束手無策,無從查起,其實并不復(fù)雜,這里我將以php環(huán)境為例講幾個小技巧,希望對大家有幫助。 先講一下思路,如果服務(wù)器上被上傳了webshell那么我們肯定能夠查到蛛絲馬跡,比如php文件的時間,如果我們可以查找最后一次網(wǎng)站代碼更新以后的所有php文件,方法如下。 假設(shè)最后更新是10天前,我們可以查找10天內(nèi)生成的可以php文件: find /var/webroot -name “*.php” -mtime -10 命令說明: /var/webroot為網(wǎng)站根目錄 -name “*.php”為查找所有php文件 -time -10為截止到現(xiàn)在10天 www.jb51.net 如果文件更新時間不確定,我們可以通過查找關(guān)鍵字的方法來確定。要想查的準確需要熟悉webshell常用的關(guān)鍵字,我這里列出一些常用的,其他的大家可 以從網(wǎng)收集一些webshell,總結(jié)自己的關(guān)鍵字,括號里面我總結(jié)的一些關(guān)鍵字 (eval,shell_exec,passthru,popen,system)查找方法如下: find /var/webroot -name “*.php” |xargs grep “eval” |more find /var/webroot -name “*.php” |xargs grep “shell_exec” |more find /var/webroot -name “*.php” |xargs grep “passthru” |more 當然你還可以導(dǎo)出到文件,下載下來慢慢分析: find /home -name “*.php”|xargs grep “fsockopen”|more >test.log 這里我就不一一羅列了,如果有自己總結(jié)的關(guān)鍵字直接替換就可以。當然并不是所有的找出的文件都是webshell需要自己做一下判斷,判斷的方法也簡單,直接從瀏覽器訪問一下這個文件或者和自己找的一些webshell比較一下,看得多了,基本上一眼就可以判斷是不是webshell文件 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
