請登錄后使用快捷導航
沒有帳號？立即注冊

查找Centos Linux服務器上入侵者的WebShell后門

2022-9-27 15:42| 查看: 2692 |來源: 互聯網

服務器被掛馬或被黑的朋友應該知道，黑客入侵web服務器的第一目標是往服務器上上傳一個webshell，有了webshell黑客就可以干更多的事情。網站被掛馬后很多人會束手無策，無從查起，其實并不復雜，這里我將以php環境

服務器被掛馬或被黑的朋友應該知道，黑客入侵web服務器的第一目標是往服務器上上傳一個webshell，有了webshell黑客就可以干更多的事情。網站被掛馬后很多人會束手無策，無從查起，其實并不復雜，這里我將以php環境為例講幾個小技巧，希望對大家有幫助。
先講一下思路，如果服務器上被上傳了webshell那么我們肯定能夠查到蛛絲馬跡，比如php文件的時間，如果我們可以查找最后一次網站代碼更新以后的所有php文件，方法如下。
假設最后更新是10天前，我們可以查找10天內生成的可以php文件：
find /var/webroot -name “*.php” -mtime -10
命令說明：
/var/webroot為網站根目錄
-name “*.php”為查找所有php文件
-time -10為截止到現在10天 www.jb51.net
如果文件更新時間不確定，我們可以通過查找關鍵字的方法來確定。要想查的準確需要熟悉webshell常用的關鍵字，我這里列出一些常用的，其他的大家可以從網收集一些webshell，總結自己的關鍵字，括號里面我總結的一些關鍵字（eval,shell_exec,passthru,popen,system）查找方法如下：
find /var/webroot -name “*.php” |xargs grep “eval” |more
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
find /var/webroot -name “*.php” |xargs grep “passthru” |more
當然你還可以導出到文件，下載下來慢慢分析：
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
這里我就不一一羅列了，如果有自己總結的關鍵字直接替換就可以。當然并不是所有的找出的文件都是webshell需要自己做一下判斷，判斷的方法也簡單，直接從瀏覽器訪問一下這個文件或者和自己找的一些webshell比較一下，看得多了，基本上一眼就可以判斷是不是webshell文件

本文最后更新于 2022-9-27 15:42，某些文章具有時效性，若有錯誤或已失效，請在網站留言或聯系站長：17tui@17tui.com

·END·

站長網微信號：w17tui，關注站長、創業、關注互聯網人 - 互聯網創業者營銷服務中心

免責聲明：本站部分文章和圖片均來自用戶投稿和網絡收集，旨在傳播知識，文章和圖片版權歸原作者及原出處所有，僅供學習與參考，請勿用于商業用途，如果損害了您的權利，請聯系我們及時修正或刪除。謝謝！

下一篇：常用的網站漏洞掃描工具小結上一篇：Velocity Parse()函數引發的本地包含漏洞及利用方法

17站長網微信二維碼

始終以前瞻性的眼光聚焦站長、創業、互聯網等領域，為您提供最新最全的互聯網資訊，幫助站長轉型升級，為互聯網創業者提供更加優質的創業信息和品牌營銷服務，與站長一起進步！讓互聯網創業者不再孤獨！

掃一掃，關注站長網微信

青草久久影院-青草久久伊人-青草久久久-青草久久精品亚洲综合专区-SM双性精跪趴灌憋尿调教H-SM脚奴调教丨踩踏贱奴

查找Centos Linux服務器上入侵者的WebShell后門

大家都在看

相關分類

熱門排行

最近更新