|
|
登录后查才能浏览下载更多咨询,有问题联系QQ:3283999
您需要 登录 才可以下载或查看,没有账号?入住遨海湾
×
php后门木马常用的函数大致上可分为四种类型:: a! @! V% r+ \
- 1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open
F5 a" {) @9 { - 2. 代码执行与加密: eval, assert, call_user_func,base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13( G: i, ?: y4 j/ I7 _, q
- 3. 文件包含与生成: require, require_once, include, include_once, file_get_contents, file_put_contents, fputs, fwrite" \0 U% b8 `$ z$ I9 z' t' K7 T
- 4. .htaccess: SetHandler, auto_prepend_file, auto_append_file
- grep –color -i -r -n “hellow word” /data/www/
8 S7 v' p Q. c) _$ g9 c6 ~# `这样就能搜索出来 文件中包含关键词的文件
/ b1 H+ D5 E3 @% W–color是关键词标红1 ~5 z: |7 p! |$ d$ P2 h/ `. L
-i是不区分大小写 j2 f( Y5 c5 Q4 l
-r是包含子目录的搜索
; {0 a, a8 r3 u$ E- T-d skip忽略子目录5 g* b7 t$ o: o; V# d, K4 T' N
可以用以上命令查找网站项目里的带有挂马的文件! u: |7 X7 \! ~% s" |8 Y9 F) N! q
0 S' K( I9 a/ K& J+ Q三 .两个查后门的实用linux命令:' q7 a" a3 V3 E/ U
- find /data/web/website/ -iname *.php -mtime -35 找出/data/web/website/目录下 35分钟前新建的php
8 D! y6 D2 U! k! d - find /data/web/website/ -name “*.php” | xargs grep “eval($_POST[” 找出/data/web/website/ 里面源码包含eval($_POST[的php文件
; M% J' m0 H/ Y: m( E四 例如 注入漏洞eval(base64_decode
( u% d% O$ X/ E( g% N- grep –color -i -r -n “eval” /data/www/ 找出来对比以前正常的代码,看是否正常。然后用stat查看这个木马文件的修改时间,最后去寻找WEB日志,找
Z! r$ G6 o2 d* G; U! p; q( ]* o五:实用查找PHP木马命令: Y6 Q8 U9 _( f' g" ^0 J7 g
查找PHP木马
2 F/ w: Q( l" u, ^! u9 v- # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt& O6 b9 H, H9 D
- # grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt
/ A' I+ ^6 A# w. V - # grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt/ J* B$ Z' c0 R& c# T( a8 c
- # find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq& k3 `$ |) k+ V) K+ S# N) \
! y. L p, m% s- # find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
/ }" h M2 m6 x- Y( `5 h+ C - # grep -r --include=*.php '[^a-z]eval($_POST' . > /tmp/eval.txt/ H+ }. I( t( D+ d$ y; G
- # grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > /tmp/file_put_contents.txt
( p6 {. m2 \/ n% \9 q- q8 F' H( u) q - # find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval\(gzuncompress\(base64_decoolcode|eval\(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq
- # find -mtime -1 -type f -name \*.php; t# F& h# ^- K- v- d* j
- # find -mtime -1 -type f -name \*.php
- # find -type f -name \*.php -exec chmod 444 {} \;" i. d. Q- S: S% l5 V4 C
- # find ./ -type d -exec chmod 555{} \;4 R1 r! O m, i$ N
- # find -type f -name \*.php -exec chmod 444 {} \;3 K7 P ]# D+ u0 a3 E% X9 f
- # find ./ -type d -exec chmod 555{} \;
- find /var/www/ -name “*.php” -mtime -10
- #find /var/www/ -name “*.php” |xargs grep “eval” |more4 h1 K# R, J4 J$ I- J
- #find /var/www/ -name “*.php” |xargs grep “shell_exec” |more
0 W: O- A* y8 v4 l9 l# F3 d# j - #find /var/www/ -name “*.php” |xargs grep “passthru” |more1 g2 U" O+ U9 l: r7 f- W8 C
- #find /var/www/ -name “*.php” |xargs grep “eval” |more
2 {& @7 p5 m# ] - #find /var/www/ -name “*.php” |xargs grep “shell_exec” |more) a0 b0 {/ t3 W* S5 H
- #find /var/www/ -name “*.php” |xargs grep “passthru” |more
" e: d% _- _* A" M& K2 c一句话查找PHP木马, [1 G$ e; B& N) C; u! u
- # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt! R/ o0 b, F( C8 T3 Z
- # grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt" E2 i0 c- m2 ~3 {9 O3 G- ^ H9 j
- # grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt
6 R B0 p u8 V7 ?+ o - # find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq
) ]5 P& p' x \. ~ - # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt, _ y% r/ d$ o. ~$ W4 Q# y
- # grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt9 Z* w# B% @0 a3 {1 _
- # grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt
7 F& H$ [/ ^* q; @/ o - # find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq
7 c: Y& P$ m4 i. y查找最近一天被修改的PHP文件) s4 r$ W1 ]4 v( j6 b3 E9 u4 K
- # find -mtime -1 -type f -name *.php
六 以下其实是多余的操作了其实,但是还是有值得看的地方( L: i( S* q- W2 W& t0 Z9 Q
( s& Y' Q' v9 Z. [) |检查代码。
. {1 M5 s, c! l" r% h! X, C1 M1 U% x
肯定不是一个文件一个文件的检查,Linxu有强悍的命令- J! v3 e2 [2 w3 X
grep ‘eval’ * -R 全盘搜索当前目录所有文件(包含子目录)中带有eval的文件,这条可以快速查找到被挂马的文件。) j" |$ y' P3 S6 B
关于eval,请自行google一句话php代码。
1 x) |6 m& h8 T; ]' |+ D2 C' ^' S: R
2,查看日志。7 k; ^ v, `1 U
不到这个时候不知道日志的可贵啊。
+ H+ c: J" U A% y+ E' m6 Y还是以grep命令为主。
4 R, x! X6 V8 Y思路:负责的站点是Linux,只开了2个端口,一个22和80,外部的执行命令是由从80端口进来,Selinux报httpd访问/boot文件,确认被挂马。而所有的命令执行必须POST提交给执行的文件。所以,查找日志中所有的POST记录。
1 n5 K" h: n8 y8 i4 X- ?) m0 Rcat access_log_20120823.log | grep ‘POST’ | grep -v ‘反向查找’ | less,通过grep -v排除正常post,egrep也支持正则,但是太复杂了,看懂不知道怎么运用。
* D, w Z+ G" ]( I) h2 r9 G" W$ X6 Z
(这里不建议用cat,用tail可以追加一个文件来看)% E) M, i: J6 j
+ @* }& {$ B' z. W; T5 P% x5 V这可以防患于未然,防止不知道哪天又被人黑进来了。每天看一眼日志。- k- _- m$ j: M- E" D6 ^
' H6 _8 b% m( a' a) i8 Q
3,对于网页目录,只给apache用户rx权限,不要给w权限,目录设置要加上rx,不要给w,个别文件除外。所以,配合2使用,Linux下可以快速过滤刷选出来不规则的POST请求。' s: ]2 |9 [' x( P, a; W: E
综合1,2其实就可以快速查找被黑的页面,被修改的文件替换干净的代码。
# p+ W/ ]- _$ T* J+ N
8 v" V! V; M/ U$ R* z8 b" \6 m! B' L; U
: Z+ x1 N# D3 |1 z. b7 U |
|
IP卡
狗仔卡
发表于 2019-9-17 08:05:03
提升卡
置顶卡
沉默卡
喧嚣卡
鍙樿壊鍗
鏄捐韩鍗