晒一下自写的webshell检查程序-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

晒一下自写的webshell检查程序

云代维 2014-08-23 12:25:59 5853
以前一直用grep和find命令手工查找,过程十分繁琐,很早前就想写个程序自动化来操作,这两天终于动手给写出来了。


查杀思路: http://www.server110.com/web_sec/201408/10902.html
(理论上可以做到无任何遗漏,但是在实际操作上,检查越全面,越深入,工作量越大。一个网站可能会报出几百几千个文件,而且有些文件得去检查上下文,文章尾部有补充,这样的检查是十分耗时的)


下面这个例子,符合二个检查特征:单行过长,包含变量函数。

这台主机上一共十几个站, 从图上可以看到,一共检查到的变量函数共1444个,其中绝大多数都是网站程序自身的正常代码。



一般的webshell,从程序报的结果中就能直接看到,比如一楼的图中。


但是有些黑 客精心构造的webshell,必须检查下代码所在位置的上下文,才能确定是程序的自身代码,还是webshell的代码。
比如eval($_POST['pass']),可以通过检查结果直接判断出这是菜刀的后门,但是如果写成这样
$code = $_POST['pass'];
eval($code);
这就得去检查程序文件了,看看$code到底是什么内容。
安全
分享到
取消 提交回答
全部回答(4)
  • pangchangfei
    2014-08-24 18:38:47
    Re晒一下自写的webshell检查程序
    支持
    0 0
  • cn0555
    2014-08-24 16:01:50
    你是我偶像
    0 0
  • 0971net
    2014-08-24 13:50:26
    Re晒一下自写的webshell检查程序
    像服务器之家同志致敬
    0 0
  • 小柒2012
    2014-08-23 13:53:59
    发了一手好贴 表示无压力
    0 0
添加回答
+ 订阅

云安全开发者的大本营

推荐文章
相似问题