首 页 » VPS安全 » 查找Centos Linux服务器上的WebShell后门

查找Centos Linux服务器上的WebShell后门

2012-02-20 | 浏览人数: 5,212次 | 分类: VPS安全 | 4条评论 | 查看评论 发表评论

服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。

先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。

假设最后更新是10天前,我们可以查找10天内生成的可以php文件:

find /var/webroot -name “*.php” -mtime -10

命令说明:
/var/webroot为网站根目录
-name “*.php”为查找所有php文件
-time -10为截止到现在10天

如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下:

find /var/webroot -name “*.php” |xargs grep “eval” |more
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
find /var/webroot -name “*.php” |xargs grep “passthru” |more

当然你还可以导出到文件,下载下来慢慢分析:

find /home -name “*.php”|xargs grep “fsockopen”|more >test.log

这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件。

原创文章如转载,请注明:转载自深度VPS [ http://www.deepvps.com ]
[复制本文链接发送给您的好友]
  • 上一篇:
  • 下一篇:
  • 日志信息 »

    该日志于2012-02-20 23:13由 deepvps 发表在VPS安全分类下, 你可以发表评论。除了可以将这个日志以保留源地址及作者的情况下引用到你的网站或博客,还可以通过RSS 2.0订阅这个日志的所有评论。

    相关日志 »

    共有4条评论 [点此发言]

    1. 1楼 xiao 2012年02月21日 10:38

      更简单的方法。。
      用版本控制。。。HG或SVN之类的版本控制。。管理网络。。一条命令就可以查看变化了

      比如HG:hg st

      [回复]

      deepvps 2012年02月22日 22:26 回复:

      是的,SVN我们公司常用。

      xiao同学如果有相关的版本控制经验的话可以写一个文章发我邮箱,我帮你贴到我的网站普及一下知识,呵呵

      [回复]

    2. 2楼 祈祷 2012年03月2日 18:14

      我也求个详细的教程 :razz: :razz:

      [回复]

      deepvps 2012年03月9日 13:58 回复:

      嘿嘿,同求同求

      [回复]

    发表评论 »

    = 10 + 13 (防止机器人评论)

     疑问 冷笑 悲伤 坏蛋 感叹 微笑 脸红 大笑 吃惊 惊讶 困惑 酷 大声笑 恼火 古怪 转眼睛 给眼色 好主意 箭头 一般 哭了 绿人