如何查找Linux服务器上查找webshell
来源:互联网 发布:日进斗金软件下载 编辑:程序博客网 时间:2024/04/30 08:57
最近discuz论坛出现很多用户无法登陆,账号被删除等现象,查看数据库发现很多用户账号被恶意删除了,检查发现是通过执行discuz内部批量删除函数删除的,就是不知道他怎么执行这个函数的。一开始以为是通过webshell执行的,所以在这里记录一下服务器查找webshell的方法及过程。
1.discuz后台有一个文件校对的功能文件校验是针对 Discuz! 官方发布的文件为基础进行核对,能列出哪些文件什么时候被修改过,或哪些文件是新增的。
2。查找webshell的技巧
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情,网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下:
假设最后更新是10天前我们可以查找10天内生成的可以php文件:
find /var/webroot -name “*.php” -a -mtime -10
命令说明:
/var/webroot为网站根目录
-name “*.php”为查找所有php文件
-time -10为截止到现在10天
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定,要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:
find /var/webroot -name “*.php” |xargs grep “eval” |more
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
find /var/webroot -name “*.php” |xargs grep “passthru” |more
当然你还可以导出到文件,下载下来慢慢分析:
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以,当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。
- 如何查找Linux服务器上查找webshell
- Linux服务器上如何查找JDK安装路径的方法
- ASP的webshell在服务器上的默认权限是什么
- Linux下查找Webshell挂马文件记录
- Linux系统下查找webshell后门的强大命令
- Linux 如何查找文件内容【查找某个字符】归纳
- 利用grep查找webshell
- Linux服务器上查找JDK的安装路径
- Linux下WEBSHELL提权
- 终结Webshell 加固web服务器
- webshell提权拿服务器方法总结
- Linux如何查找动态库
- linux如何查找.so
- linux 下如何查找文件夹
- linux 下如何查找文件夹
- Linux如何查找一个文件
- 如何在一台Linux服务器上查找JDK的安装路径
- webshell下查找所有IIS站点配置
- Cfengine UNIX 多客户端运维管理工具
- Asp.net中显示所有缓存 清除所有缓存
- Calendar 操作时间
- javascript 获取页面高度(多种浏览器)(转)
- 第八章线性时间排序之“桶排序BUCKET-SORT”
- 如何查找Linux服务器上查找webshell
- 最近在淘宝上买东西
- ecllipse调试postgresql
- 一个平凡菜鸟的C#琐碎总结 ----- 文件操作(一)
- windows、linux、mac操作系统间换行符的编码差异
- Android中两个Activity之间数据传递及返回
- Debug中cx的值
- 基于android手机的3G+GPS远程控制模型车工程-android手机编程3-创建控制服务
- stl中的Map