<![CDATA[沧海一粟]]>

<![CDATA[沧海一粟]]> http://www.dzhope.com/index.php zh-cn http://www.dzhope.com/post// <![CDATA[查找centos linux服务器上的webShell后门]]> jed <jed521@163.com> Tue, 14 Feb 2012 08:26:57 +0000 http://www.dzhope.com/post//
先讲一下思路，如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹，比如php文件的时间，如果我们可以查找最后一次网站代码更新以后的所有php文件，方法如下：

假设最后更新是10天前我们可以查找10天内生成的可以php文件:

find /var/webroot -name "*.php" -mtime -10
[/find]
命令说明：
/var/webroot为网站根目录
-name “*.php”为查找所有php文件
-time -10为截止到现在10天

如果文件更新时间不确定，我们可以通过查找关键字的方法来确定，要想查的准确需要熟悉webshell常用的关键字，我这里列出一些常用的，其他的大家可以从网收集一些webshell，总结自己的关键字，括号里面我总结的一些关键字（eval,shell_exec,passthru,popen,system）查找方法如下：
[code]
find /var/webroot -name "*.php" |xargs grep "eval" |more
find /var/webroot -name "*.php" |xargs grep "shell_exec" |more
find /var/webroot -name "*.php" |xargs grep "passthru" |more

当然你还可以导出到文件，下载下来慢慢分析：

find /home -name "*.php" |xargs grep "fsockopen" |more >test.log

这里我就不一一罗列了，如果有自己总结的关键字直接替换就可以，当然并不是所有的找出的文件都是webshell需要自己做一下判断，判断的方法也简单，直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下，看得多了，基本上一眼就可以判断是不是webshell文件。

Tags - webshell , find ]]> http://www.dzhope.com/post//#blogcomment <![CDATA[[评论] 查找centos linux服务器上的webShell后门]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.dzhope.com/post//#blogcomment