|
|
登录后查才能浏览下载更多咨询,有问题联系QQ:3283999
您需要 登录 才可以下载或查看,没有账号?入住遨海湾
×
php后门木马常用的函数大致上可分为四种类型:
5 A, z& [; O2 x$ j- p6 i& a5 _- 1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
5 ?# h: t( ~' R6 ^ - 2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot132 [4 s, d& c$ z7 ^1 [& H
- 3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite
1 H! H! R5 n5 Q* q: E1 D - 4. .htaccess: SetHandler, auto_prepend_file, auto_append_file
- grep –color -i -r -n “hellow word” /data/www/
这样就能搜索出来 文件中包含关键词的文件0 N7 O6 g- E2 }9 y3 ~: g X
–color是关键词标红
0 y( V3 K( P# p Z: u-i是不区分大小写
; t0 y% N; I/ d7 e- H& i$ e-r是包含子目录的搜索
; m- c, Y2 a- S" g6 {-d skip忽略子目录) X; V/ _7 u8 Z/ `* n2 e
可以用以上命令查找网站项目里的带有挂马的文件
/ H2 n0 ]1 n, j- R$ M% \7 B9 y' S$ k( p8 \2 c* N
三 .两个查后门的实用linux命令:" b1 O( [7 D6 c2 R _
- find /data/web/website/ -iname *.php -mtime -35 找出/data/web/website/目录下 35分钟前新建的php
+ f$ j5 w f2 G - find /data/web/website/ -name “*.php” | xargs grep “eval($_POST[” 找出/data/web/website/ 里面源码包含eval($_POST[的php文件
, l: U2 }/ p$ Z7 {, z4 h4 E四 例如 注入漏洞eval(base64_decode- F- [' X: w7 e/ Q" Z; G( H6 l
- grep –color -i -r -n “eval” /data/www/ 找出来对比以前正常的代码,看是否正常。然后用stat查看这个木马文件的修改时间,最后去寻找WEB日志,找
: c4 E0 _: N. c2 [' m# z五:实用查找PHP木马命令:
& G# Z; |; ~/ Q5 b' b+ c查找PHP木马& Z3 T6 w6 O7 |* W x; I: `
- # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
: d' I3 h- l" \ - # grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt1 \- x7 G7 B7 I4 f% A9 Q
- # grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt
1 E3 {" \! ^- W1 T - # find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
& s" F: a. i4 n( [# G - ) T/ }7 I) }( }8 S/ {4 Q' Z
- # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt% e6 n ~# B; C, ?* d" Z9 q
- # grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt
/ O, i/ r0 i; E8 C7 ]4 p1 [ - # grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt5 x: {- J+ J3 q) {' s( u
- # find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
7 b- B9 g# v$ K: r! y- # find -mtime -1 -type f -name \*.php
/ Q9 {$ b' F0 `% e/ f+ E - # find -mtime -1 -type f -name \*.php
% V7 o7 n& d% r) W- # find -type f -name \*.php -exec chmod 444 {} \;( ~# e2 V- f J/ J' M8 j+ x ~9 b0 T$ }
- # find ./ -type d -exec chmod 555{} \;
7 k, N- W: C8 ]% S# h' {4 I$ V - # find -type f -name \*.php -exec chmod 444 {} \;
7 R7 U }4 B' w1 S/ A- j - # find ./ -type d -exec chmod 555{} \;
! e: k2 G- h% L/ L! j- find /var/www/ -name “*.php” -mtime -10
" m5 Y2 b' y" U& A* N1 Q- Q5 T7 t% f- #find /var/www/ -name “*.php” |xargs grep “eval” |more- W5 E+ E. x: m* l
- #find /var/www/ -name “*.php” |xargs grep “shell_exec” |more
6 m5 c, b4 S6 o- x - #find /var/www/ -name “*.php” |xargs grep “passthru” |more3 C( |! U3 @6 @: b' \# Z
- #find /var/www/ -name “*.php” |xargs grep “eval” |more. z$ k) \: q3 N4 K. b: K8 Z/ v" }4 W
- #find /var/www/ -name “*.php” |xargs grep “shell_exec” |more
& J R6 R4 P* ?; G" n# W9 J1 Y - #find /var/www/ -name “*.php” |xargs grep “passthru” |more
! R0 m; k! ~# Y; w& v7 E一句话查找PHP木马
4 j: h) F6 x) J; Y- # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt
. ~ b$ E4 p4 T3 [& q! v - # grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt
* T! C7 `* Y: j; |0 p5 ] - # grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt
$ x0 N/ i# ^& N& C# t - # find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq- r4 A* ]% X7 \5 D z
- # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt' ~: Y# M$ H# K3 W' n
- # grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt
) Q R0 O4 a9 ]+ l$ x - # grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt
6 q( \/ c/ M, E+ f* ]" Y - # find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq
& q* |6 m6 X$ o查找最近一天被修改的PHP文件$ ^5 i/ U6 b& i* p1 `0 H# t
- # find -mtime -1 -type f -name *.php
六 以下其实是多余的操作了其实,但是还是有值得看的地方$ i5 J: n! O9 y7 i
& C+ G8 f( n$ i" D9 }2 D6 j检查代码。
# d' Z0 N* A6 A. e0 ]- n' e3 W) y+ c1 U* \* t" n! X$ i* A! p
肯定不是一个文件一个文件的检查,Linxu有强悍的命令+ K: d- |3 N5 [; [
grep ‘eval’ * -R 全盘搜索当前目录所有文件(包含子目录)中带有eval的文件,这条可以快速查找到被挂马的文件。7 m8 g6 u: u% R) }
关于eval,请自行google一句话php代码。
# t2 K& c6 h/ U7 q/ A( q4 E) D4 K1 e$ N0 O; h t: n& |* ?, m
2,查看日志。: N% C" O! b& G+ i" }! d
不到这个时候不知道日志的可贵啊。
0 x4 v3 P: |$ F0 ^& G还是以grep命令为主。
+ y9 \9 D* _9 L) G思路:负责的站点是Linux,只开了2个端口,一个22和80,外部的执行命令是由从80端口进来,Selinux报httpd访问/boot文件,确认被挂马。而所有的命令执行必须POST提交给执行的文件。所以,查找日志中所有的POST记录。) w' X7 w/ S1 A
cat access_log_20120823.log | grep ‘POST’ | grep -v ‘反向查找’ | less,通过grep -v排除正常post,egrep也支持正则,但是太复杂了,看懂不知道怎么运用。6 f' w+ Z6 M; |1 ]0 c/ x9 \
0 p! V6 K5 ~/ e3 t6 Y, {2 n
(这里不建议用cat,用tail可以追加一个文件来看)
& a: ~# _# p `# T* Z
" }) W/ Y3 S2 G- t/ @这可以防患于未然,防止不知道哪天又被人黑进来了。每天看一眼日志。
: |/ Y) W6 V8 Z' j( z& C! y: b5 Z; z) _9 ?: O: j7 x
3,对于网页目录,只给apache用户rx权限,不要给w权限,目录设置要加上rx,不要给w,个别文件除外。所以,配合2使用,Linux下可以快速过滤刷选出来不规则的POST请求。
7 L; B' C# g5 D综合1,2其实就可以快速查找被黑的页面,被修改的文件替换干净的代码。5 p w* ]' U2 T2 [- X. d/ Q9 U3 c9 V
8 E- P& G2 e+ j3 T) S. K% {& X
4 ?: d! {! {2 a% A! U% V0 S" w
* n- w3 H' z: ~5 w3 z |
|
IP卡
狗仔卡
发表于 2019-9-17 08:05:03
提升卡
置顶卡
沉默卡
喧嚣卡
鍙樿壊鍗
鏄捐韩鍗