服務(wù)器被掛馬或被黑的朋友應(yīng)該知道，黑客入侵web服務(wù)器的第一目標(biāo)是往服務(wù)器上上傳一個webshell，有了webshell黑客就可以干更多的事 情。網(wǎng)站被掛馬后很多人會束手無策，無從查起，其實并不復(fù)雜，這里我將以php環(huán)境為例講幾個小技巧，希望對大家有幫助。
先講一下思路，如果服務(wù)器上被上傳了webshell那么我們肯定能夠查到蛛絲馬跡，比如php文件的時間，如果我們可以查找最后一次網(wǎng)站代碼更新以后的所有php文件，方法如下。
假設(shè)最后更新是10天前，我們可以查找10天內(nèi)生成的可以php文件：
find /var/webroot -name “*.php” -mtime -10
命令說明：
/var/webroot為網(wǎng)站根目錄
-name “*.php”為查找所有php文件
-time -10為截止到現(xiàn)在10天 www.dbjr.com.cn
如果文件更新時間不確定，我們可以通過查找關(guān)鍵字的方法來確定。要想查的準(zhǔn)確需要熟悉webshell常用的關(guān)鍵字，我這里列出一些常用的，其他的大家可 以從網(wǎng)收集一些webshell，總結(jié)自己的關(guān)鍵字，括號里面我總結(jié)的一些關(guān)鍵字 （eval,shell_exec,passthru,popen,system）查找方法如下：
find /var/webroot -name “*.php” |xargs grep “eval” |more
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
find /var/webroot -name “*.php” |xargs grep “passthru” |more
當(dāng)然你還可以導(dǎo)出到文件，下載下來慢慢分析：
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
這里我就不一一羅列了，如果有自己總結(jié)的關(guān)鍵字直接替換就可以。當(dāng)然并不是所有的找出的文件都是webshell需要自己做一下判斷，判斷的方法也簡單，直接從瀏覽器訪問一下這個文件或者和自己找的一些webshell比較一下，看得多了，基本上一眼就可以判斷是不是webshell文件

最新評論