WebShell(脚本木马)查杀思路

最新推荐文章于 2024-08-13 10:52:47 发布
最新推荐文章于 2024-08-13 10:52:47 发布
阅读量3.3k 收藏 4
点赞数 1
分类专栏: WEB安全 脚本语言 文章标签: 脚本 正则表达式 web服务 cgi 语言 跨平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Arno2013/article/details/7238822
版权

0x1、介绍 

       在web服务器上留下一个WEBSHELL后门是黑客最常见的留后门方法,传统意义上的系统后面,在各种云查杀的追缴下,基本上已经毫无出路(某些特殊工具除外),所以WEBSHELL最为一个最经济、方便、稳定的后门,已经是黑客的不二选择,站长们,你们的web上有后门吗?


0x2、查杀思路

    WEBSHELL一般是脚本代码,ASP、ASPX、PHP、JSP、CGI、CFM等等,基本是都是解释执行,所以对脚本文件内容进行特征字符串匹配就能够进行很好的查杀,另外一些特殊解析漏洞所导致的后门(IIS服务器等解析漏洞),也应该一起查杀!

  特征码定义思路:

  1、文件操作

  2、CMD操作

  3、数据库操作

  4、操作系统进程访问

  5、网络操作、访问

  6、代码二次执行


任何一个webshell,都离不开这几点,如果不能做到上面中的至少一点就不能称其为WEBSHELL,所以定义这些行为的特征码,就能够很好的进行WEBSHELL查杀。


0x3、定义特征码

     定义特征码,地球人都知道,那肯定是正则表达式了! 各种语言都可以支持,很方便,各种平台下均可以使用。


0x4、开发

   开发环境采用脚本语言,避免各种环境不兼容,不跨平台,不好用。最后使用html生成报告,一键搞定。


下面上两张我电脑的扫描报告:



存在代码二次执行特征码和匹配策略个数较多的脚本文件,基本上可以认定是WEBSHELL了。


非常不好意思,文章写到这里,才发现CSDN不能上传附件的,汗死!

各位站长有需要的查杀程序的给我留言!


Arno2013
关注
专栏目录
查杀webshell木马
shatianyzg的博客
05-23 356
查杀webshell木马
Webshell河马后门查杀工具配合shell脚本实现多站点自动化查杀
醉世老翁的博客
08-07 3045
河马官网https://www.shellpub.com/ 河马工具查杀的步骤特别简单 下载,解压,开始扫描,参考官网教程https://www.shellpub.com/doc/hm_linux_usage.html 扫描出来的结果都会保存在hm文件的同级目录result.csv中,扫描出来的结果是这样的 第一行是固定的,序号,类型,路径,如果有可疑或者木马文件,会生成一个result.csv 如果没有则不会生成,再次执行,会覆盖上次的result.csv结果 需要注意的是,这个工具需要联..
linux和windows木马排查思路
qq_40770143的博客
10-23 2375
一般常见的黑客入侵途径 1、主机远程连接端口暴露在互联网并存在弱口令,被黑客暴力破解后获取主机权限。 2、主机部署数据库后连接端口暴露互联网,数据库账号弱口令,被黑客入侵数据后提权获取主机权限。 3、部署业务存在应用漏洞,被黑客利用植入webshell,控制主机。 一、windows系统排查木马处理流程: 1、procexp.exe 开启virtual在线查杀,发现木马进程。 2、procexp....
应急响应-主机后门webshell排查思路webshell,启动项,隐藏账户,映像劫持,rootkit后门)
告白的博客
08-04 1640
思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考。针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查出后门位置,以及排查对外连接,端口使用情况等等。借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等。linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等。映像劫持,隐藏账户,均可借助工具查看,
黑客常用的一些木马脚本和操作系统
最新发布
weixin_43603708的博客
08-13 927
黑客常用的木马脚本和操作系统通常涉及恶意软件开发、入侵工具和专门的操作系统环境。
Webshell检查思路
m0_62207482的博客
04-13 496
Webshell总 有一个HTTP请求,如果我在网络层监控HTTP,并且检测到有人访问了一个从没反问过得文件,而且返回了200,则很容易定位到webshell,这便是http异常模型检测,就和检测文件 变化一样,如果非管理员新增文件,则说明被人入侵了。静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的webshell,并且误报率漏报率会比较高,但是如果规则完善,可以减低误报率,但是漏报率 必定会有所提高。还有`phar <?php XXXXX`寻找webshell
几点基于Web日志的Webshell检测思路
zhangge3663的博客
03-14 1679
摘要:Web日志记录了网站被访问的情况,在Web安全的应用中,Web日志常被用来进行攻击事件的回溯和取证。Webshell大多由网页脚本语言编写,常被入侵者用作对网站服务器操作的后门程序,网站被植入Webshell就说明网站已被入侵。Webshell检测手段常见的有运行后门查杀工具,比如D盾,或者部署防护软硬件对网站流量和本地文件进行检查,代价较大且对网站的访问性能有影响。因此,结合作者这几年做...
WebShell检测思路浅谈
weixin_33928137的博客
03-28 408
[目录] 0x00 前言0x01 Webshell检测模型0x02 静态特征检测0x03 动态特征检测0x04 结语 0x00 前言 什么是webshell?我相信如果看官能有兴趣看这篇文章,一定对webshell有个了解。不过不了解也没关系,那就请先搜索下相关资料[1]。当然,本着“know it then hack it”的原则,建议你还是搭个环...
Linux下查杀webshell木马的工具.zip
01-05
在Linux环境中,安全是至关重要的,尤其是对于服务器管理员而言,防止和检测Webshell木马尤为重要。Webshell,也称为Web后门,是攻击者在网站上留下的恶意脚本,通常用于远程控制服务器,窃取数据,或者进行其他非法...
WebShellKill网站后门木马脚本查杀工具
11-17
WebShellKil是一款web后门专杀工具,不仅支持webshell的扫描,同时还支持暗链的扫描。是一款融合了多重检测引擎的查杀工具。能更精准地检测出WEB网站已知和未知的后门文件
第06篇:10款Webshell查杀工具1
08-03
2. 百度WEBDIR+:新一代WebShell检测工具,利用动态监测技术和多引擎无规则查杀技术,提供在线木马检测服务和免费API支持批量检测,在线查杀地址为:https://scanner.baidu.com/。 3. 河马:专注于Webshell查杀研究...
webshellkill网页木马查杀工具
11-19
软件使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。 引擎特别针对,一句话后门,变量函数后门,${}执行 ,`执行, preg_replace执行,call_user_func,file_put_contents,fputs 等特殊函数 的参数进行针对性的识别,能查杀更为隐藏的后门。
木马查杀工具(WebShellKillerTool)
08-11
内含工具,无需安装,解压即用,支持Windows XP、Windows 7、Windows 8.1、Windows 10
ASP木马专门查杀工具
09-27
站长安全助手vbs版 使用说明 均在命令行下使用 ---------------------------- AntiIframe.vbs #该脚本是批量挂马程序的逆向,用于批量清除被添加到文件中的恶意代码。记事本打开文件可以修改Pattern参数指定要处理的文件名,文件名之间用|隔开(也支持vbs正则表达式)。由于要修改文件,请谨慎的使用(最好先备份文件) #用法: CScript AntiIframe.vbs [处理的路径] [包含清除内容的文件] #例子: CScript AntiIframe.vbs d:\Web d:\lake2.txt ---------------------------- Scan.vbs #该脚本用于本地扫描ASP木马,速度比ASP版快很多。可能存在误报、漏报的情况,视具体情况处理 #用法: CScript Scan.vbs [扫描路径] [结果HTM文件路径] #例子: CScript Scan.vbs d:\Web d:\report.html ----------------------------
常见 Webshell 的检测方法及检测绕过思路
niuyisheng的专栏
09-22 6728
Webshell的因素 我们从一个最简单的webshell结构可以看出其基本结构:“” 从目前被公布的一句话webshell来看,基本都符合这个结构,即shell的实现需要两步:数据的传递、执行所传递的数据。 数据传递&绕过检测 对于数据传递,我们通常的做法是使用$_GET、$_POST、$_SERVER、$_COOKIE等获取客户端数据。但这类关键词如果直接出现的
实战Webshell管理工具Weevely检测思路分析
白帽黑客鹏哥的博客
06-17 938
第三步:Client通过解密函数utils.sting.sxor()、zlib.decompress()、base64.b64decode()对接收服务端响应的body字符串进行解密,并判断字符串是否和send()函数发送到服务端的“X”值相同,从而判断客户端与服务端是否能够成功建立通信。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
Linux下简单的木马查杀
周瑜的博客
02-07 1262
最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07 查杀思路 先查看系统中有没有异样的进程 找到异常进程之后 kill 掉 找到异常进程启动的位置并修复 具体的查杀步骤 先看到阿里云的报警信息 其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼,不知所措) 然后通过 top 查看运行的进程 发现了异常的进程 network01 kill -9
webshell脚本
12-22
Webshell脚本是一种恶意代码,它允许攻击者通过Web应用程序执行命令和控制受感染的服务器。攻击者通常通过上传Webshell脚本来获取对服务器的远程访问权限,并执行各种恶意活动,如数据盗取、文件删除、系统破坏等。 以下是一个示例Webshell脚本的代码: ```python #!/usr/bin/env python import os # 获取用户输入的命令 command = input("Enter command: ") # 执行用户输入的命令 result = os.popen(command).read() # 输出命令执行结果 print(result) ``` 该脚本允许攻击者在受感染的服务器上执行任意命令。攻击者可以通过向脚本输入命令来执行系统命令,并获取命令的输出结果。 为了防止Webshell脚本的滥用,建议采取以下防御措施: 1. 定期更新和维护Web应用程序的软件和插件,以修复已知的漏洞。 2. 对用户输入进行严格的验证和过滤,以防止任意命令执行。 3. 限制Web服务器的文件和目录权限,确保只有必要的文件和目录对外可访问。 4. 监控服务器日志,及时发现异常活动和潜在的Webshell脚本。 5. 使用防火墙和入侵检测系统来检测和阻止恶意流量。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值