查找Centos Linux服务器上入侵者的WebShell后门

坚持就是胜利,我也是过来人,我只想说路很长,沿途风景有好有坏,自己的收获才重要,而且别人真的不会在意你的,都有自己的生活,除了家人,加油!
服务器被挂马或被黑的朋友应该知道,黑客入侵web服务器的第一目标是往服务器上上传一个webshell,有了webshell黑客就可以干更多的事 情。网站被挂马后很多人会束手无策,无从查起,其实并不复杂,这里我将以php环境为例讲几个小技巧,希望对大家有帮助。
先讲一下思路,如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹,比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件,方法如下。
假设最后更新是10天前,我们可以查找10天内生成的可以php文件:
find /var/webroot -name “*.php” -mtime -10
命令说明:
/var/webroot为网站根目录
-name “*.php”为查找所有php文件
-time -10为截止到现在10天 www.haodaima.com
如果文件更新时间不确定,我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字,我这里列出一些常用的,其他的大家可 以从网收集一些webshell,总结自己的关键字,括号里面我总结的一些关键字 (eval,shell_exec,passthru,popen,system)查找方法如下:
find /var/webroot -name “*.php” |xargs grep “eval” |more
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
find /var/webroot -name “*.php” |xargs grep “passthru” |more
当然你还可以导出到文件,下载下来慢慢分析:
find /home -name “*.php”|xargs grep “fsockopen”|more >test.log
这里我就不一一罗列了,如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断,判断的方法也简单,直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下,看得多了,基本上一眼就可以判断是不是webshell文件

以上就是查找Centos Linux服务器上入侵者的WebShell后门。工作的质量,决定生活的质量,能力比金钱重要万倍。更多关于查找Centos Linux服务器上入侵者的WebShell后门请关注haodaima.com其它相关文章!

您可能有感兴趣的文章
2019最新RDP远程桌面漏洞官方补丁(针对win2003、win2008)

宝塔面板 phpmyadmin 未授权访问漏洞 BUG ip:888/pma的问题分析

CPU幽灵和熔断漏洞是什么?Intel为大家简单易懂的科普了一番

解析文件上传漏洞 从FCKEditor文件上传漏洞谈起

WEB常见漏洞问题危害及修复建议