AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

linux查找webshell

2016-06-30 1617
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 原文出处:http://my.oschina.net/longquan/blog/155905 首先认识一下小马,一般大马容易暴露,骇客都会留一手,把小马加入正常PHP文件里面 //密码为a,使用中国菜刀连接 隐藏很深的小马 fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).。

原文出处:http://my.oschina.net/longquan/blog/155905

首先认识一下小马,一般大马容易暴露,骇客都会留一手,把小马加入正常PHP文件里面

<?php eval ($_POST[a]);?> //密码为a,使用中国菜刀连接

隐藏很深的小马

fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).
。。。省略

解码:
其中chr括号里面的数字是美国信息交换标准代码,缩写:ASCII 可以找一份对照表对应一下

比如 46  就是 .
       47  就是 /
       32  就是 空格

也可以echo chr(46)解出来
<?php
echo chr(46).chr(47).chr(97).chr(46)
?>

WINDOWS下的应该有很多日志分析和查杀工具(比如D盾等),那么,LINUX下如何查找WEBSHELL呢?

find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

 

然后就手工查看,写入计划任务啦。

只查小马的可以

 

grep -r --include=*.php  '[^a-z]eval($_POST' . > post.txt
grep -r --include=*.php  '[^a-z]eval($_REQUEST' . > REQUEST.txt

 

查出来了,重要的是要分析日志,查看入侵源头。

防范:

禁用危险函数,整理权限,防止权限过大

 

disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,s
ymlink,popepassthru,stream_socket_server,fsocket

 

在网上找了一份用PHP查找WEBSHELL的东东,适用数据量小及少

https://github.com/emposha/PHP-Shell-Detector

git 下来  只需要2个文件
shelldetect.php   //默认帐号密码 admin protect 
shelldetect.db

如果你有什么好的建议,感谢你的分享:)

20130826更新

小马的变种很多,经常会绕过我们的检查,此时,最好能做把文件进行对比。

比如,网上找的这个PHP一句话<?php $k="ass"."ert";$k(${"_PO"."ST"}['8']);?>

下面提供自己写的比较简单的检查脚本,思路是对比目录有更新的PHP文件进行匹配。

 

#!/bin/bash
# 先RSYNC干净的,再执行此脚本最好
Date=`date +%Y%m%d_%H:%M`
src=/www/www.a.com/
dest=/www/www.a.com.bk/
log_tmp1=/root/sh/webshell_php.log
log_result=/root/sh/webshell_result.log
which egrep
if [ $? -ne 0 ];then
echo "Not Found egrep,exit"
exit 0
fi
rsync -av --include="*/" --include="*.php" --exclude="*" $src $dest|grep -i php > $log_tmp1
for diff in `cat $log_tmp1`
  do
     egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode|\@preg_replace' "$dest""$diff"
  if [ $? -eq 0 ];then
     echo "===========================" >> $log_result
     echo "$Date" >> $log_result
     echo "$dest$diff is Dangerous" >> $log_result
   fi
done

 

扩展阅读:

shell反弹

php-security-best-practices-tutorial

十大PHP最佳安全实践

使用suhosin保护PHP

文章标签:
PHP
Linux
Shell
关键词:
Linux webshell
Linux查找
bypass
目录
相关文章
潇湘信安
|
安全 Linux 网络安全
使用D盾扫描Linux主机Webshell
使用D盾扫描Linux主机Webshell
潇湘信安
437 0
使用D盾扫描Linux主机Webshell
auqbllxiu
|
Linux Shell
Linux: find查找大文件
Linux: find查找大文件
auqbllxiu
98 0
Linux: find查找大文件
3it3iap2n2xxu
|
Linux 开发工具
Linux:时间日期指令(date)+查找指令(find,locate,grep)+压缩和解压指令(gzip,gunzip;zip,unzip;tar)(内含详细解释+操作实例)
Linux:时间日期指令(date)+查找指令(find,locate,grep)+压缩和解压指令(gzip,gunzip;zip,unzip;tar)(内含详细解释+操作实例)
3it3iap2n2xxu
218 0
Linux:时间日期指令(date)+查找指令(find,locate,grep)+压缩和解压指令(gzip,gunzip;zip,unzip;tar)(内含详细解释+操作实例)
3it3iap2n2xxu
|
机器学习/深度学习 Linux Windows
linux:2.3.4 查找/搜索命令(find+grep)+压缩/解压缩命令(gzipbzip2+tar+mv+mkdir)
linux:2.3.4 查找/搜索命令(find+grep)+压缩/解压缩命令(gzipbzip2+tar+mv+mkdir)
3it3iap2n2xxu
264 0
linux:2.3.4 查找/搜索命令(find+grep)+压缩/解压缩命令(gzipbzip2+tar+mv+mkdir)
iomafilfjtgvs
|
Linux
Linux查找和压缩文件:find、which、whereis、tar(上)
1 查找文件 1.1 find 采用递归方式,根据目标的名称、类型、大小等不同属性进行精细查找。 命令的特点:
iomafilfjtgvs
164 1
stevelu666
|
安全 Linux 开发工具
超详细的Linux查看、创建、查找命令
超详细的Linux查看、创建、查找命令
stevelu666
180 0
超详细的Linux查看、创建、查找命令
stevelu666
|
Linux 数据库
Linux基础命令--查找命令(which命令、find命令、locate命令)
Linux基础命令--查找命令(which命令、find命令、locate命令)
stevelu666
194 0
Linux基础命令--查找命令(which命令、find命令、locate命令)
程序媛三妹ya
|
Linux
Linux Ctrl r 快速查询历史命令并查找符合条件的多条命令
Linux Ctrl r 快速查询历史命令并查找符合条件的多条命令
程序媛三妹ya
353 0
吾非同
|
Linux 数据库 开发工具
linux文件及文件内容查找命令总结
linux文件及文件内容查找命令总结
吾非同
340 0
程序媛三妹ya
|
Linux Python
Linux 服务器查找Python包的路径
Linux 服务器查找Python包的路径
程序媛三妹ya
199 0

热门文章

最新文章

  • 1
    Linux清理磁盘空间常用命令
  • 2
    Linux基础命令---添加/删除组
  • 3
    Linux 下 Oracle随系统自动启动和关闭
  • 4
    LINUX使用sig文件验证文件的签名
  • 5
    linux 后台执行命令
  • 6
    读Linux那些事儿之我是HUB笔记(四)
  • 7
    Linux用户和组命令之chsh、chfn、chage
  • 8
    Linux下清理内存和Cache方法
  • 9
    I.MX6 Linux I2C device& driver hacking
  • 10
    配置Linux软RAID0
  • 1
    Linux命令systemctl详解
    148
  • 2
    Linux命令sync详解
    432
  • 3
    Linux命令sum详解
    97
  • 4
    Linux命令su详解
    137
  • 5
    Linux命令stty详解
    373
  • 6
    Linux命令strip详解
    194
  • 7
    Linux命令strings详解
    208
  • 8
    stdbuf命令在Linux中的深度解析
    144
  • 9
    Linux命令stat:深入了解文件与文件系统状态
    220
  • 10
    Linux命令ssltap的深入解析与应用实践
    77

    • 相关课程

    更多
  • Linux MySQL服务器搭建与应用
  • 计算机基础与Linux入门
  • Linux基本命令
  • Linux企业运维实战 - 入门及常用命令
  • Linux Shell 编程入门与实战
  • Linux网络进阶 - TCP/IP协议及OSI七层模型

    • 相关电子书

    更多
  • Alibaba Cloud Linux 3 发布
  • ECS系统指南之Linux系统诊断
  • ECS运维指南 之 Linux系统诊断

    • 相关实验场景

    更多
  • 使用计算巢企业应用,一键获取专属的Linux服务器管理软件
  • 部署Linux主机管理系统WDCP
  • 快速配置Linux云服务器
  • 基于Linux命令实现WordPress手动建站
  • Linux系统的安全登录
  • Linux指令入门-文件管理

    • 推荐镜像

    更多
  • mxlinux-iso
  • archlinuxarm
  • archlinuxcn
    • 下一篇
    阿里云OSS设置跨域访问