php 单行匹配,WEB安全:单行命令查杀Webshell(php为例)

最新推荐文章于 2024-01-29 16:54:58 发布
最新推荐文章于 2024-01-29 16:54:58 发布
阅读量181 收藏
点赞数
文章标签: Webshell Perl脚本 安全检测 PHP文件 恶意代码

3ac92f8c91cb0091496c500b9058f518.png作为一个个人站长,一个头特的问题是,不知不觉中会发现网站被人黑了,挂马了,在以前的文章中笔者介绍过用脚本分析访问日志,对恶意攻击进行封闭的处理方法。见WEB安全:利用单行命令定位网站攻击源并封禁处理。

那么对于已经被人挂马,被人插入Webshell的网站,该如何处理,这里笔者给你介绍一种相对简单,操作性强的方法,那就是今天文章的内容。

根据Webshell中的一些特征字段进行搜索,就可以搜出可能含有木马的的文件,特征字段可自行根据需要添加。

perl -lne 'print "$ARGV $_" if /(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/ ' `find -type f -name "*.php"`

本行脚本解释:这行代码结合了find和Perl单行来实现Webshell的查杀,首先通过` find -type f -name "*.php"` 列出本目录及子目录下所有php文件,注意`反斜杠(tab上面的建),find命令参数 -type f表示类型为文件,-name "*.php"`表示文件名以php结尾(当然可以是其他类型,可以是其他特征)。find具体用法可以用find -h看说明,或者搜索引擎搜索其用法。

接着搜索到的所有php文件都被传递个Perl单行,perl对每一个文件按行进行正则搜索,搜索phpspy,c99sh,milw0rm,eval (gunerpress,eval (base64_decoolcode,spider_bc等关键词,注意正则匹配中(为关键字需要在其前面加反斜杠\来转义。最后把匹配到的文件名和行的内容输出。

注意输出的$ARGV表示文件列表中的每一个文件文件名,$_表示当前列表的当前项,此处表示匹配到的行内容。

以上的脚本输出了每一个匹配的行,可以作为一个用来详细核对每一个项目。实际中会需要只输出有问题文件名,其实也简单,对上述脚本稍做修改即可。

per -lne '{$files{$ARGV}++ if /(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/}END{print for keys %files} ' `find -type f -name "*.php"`

以上脚本在脚本1的基础上用了个哈希变量 %files把匹配的每一行的文件名作为键,如果有匹配其值就+1,最后再END模块输出%files的键,即有匹配的文件名。当然也可以先把所有文件名都输出然后重定向做个uniq也可以的。

perl -lne 'print "$ARGV" if /(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/ ' `find -type f -name "*.php"`|uniq

需要注意的是,以上查出来的文件,有可能是正常的php文件,需要你根据实际甄别处理(批量替换),不要误杀了(处理以前注意备份俄)。

用grep方法,见下面。

grep -r –include=*.php ‘[^a-z]eval($_POST’ . > /tmp/eval.txt

grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . > /tmp/file_put_contents.txt

其他需要注意的事项,快捷查询Web文件修改时间,文件权限:

查找最近一天被修改的PHP文件

find -type f -mtime -1 -name \*.php

修改网站的权限

# find -type f -name \*.php -exec chmod 444 {} \;

# find ./ -type d -exec chmod 555{} \;

最后做一个知识扩展:

1、linux下的批量查找和替换。

find . -type f -name “*.html”|xargs grep ‘yourstring’

2、查找并用perl One-liners替换

find -name ‘要查找的文件名’ | xargs perl -pi -e ‘s|被替换的字符串|替换后的字符串|g’

下面这个例子就是将当前目录及所有子目录下的所有*.shtml文件中的”“替换为”(空)“.

find . -type f -name “*.shtml”|xargs perl -pi -e ‘s|| |g’

perl -pi -e

在Perl 命令中加上-e 选项,后跟一行代码,那它就会像运行一个普通的Perl 脚本那样运行该代码.

罗兹
关注
查杀webshell木马
shatianyzg的博客
05-23 361
查杀webshell木马
【愚公系列】2024年03月 《CTF实战:从入门到提升》 011-Web安全入门(PHP反序列化漏洞)
最新发布
时光隧道
03-30 5万+
PHP是一种广泛使用的开源服务器端脚本语言,它支持面向对象的编程范式。在PHP中,类和对象是用于封装数据与功能的核心组件,它们使得代码更加模块化、易于管理和扩展。在处理对象持久化——即在不同会话或不同请求之间保存对象状态的过程中,序列化和反序列化是两个非常重要的概念。反序列化漏洞通常发生在不安全地反序列化用户提供的数据时。代码执行:攻击者可能会注入恶意对象,当这个对象被反序列化时,它可能会触发任意代码执行。对象注入:通过构造特殊的序列化数据,攻击者可能会在应用程序上下文中创建不正当的对象实例。
php在线查杀扫描webshell后门 对接WEBDIR+ Api
10-04
使用PHP对接百度 WebDir在线查杀接口 作者来源:https://mubaisu.com/webdir.html 并处理判断返回结果,使在线查杀文件不在是梦想~ 无需任何扩展和依赖限制 只要你服务器可以跑php 缺点:每次查杀都需要上传文件WebDir 并等待返回结果 速度比较慢 需要耐心等待 优点:Api 免费 并且不限制上传文件数量。 WEBDIR+采用先进的动态监测技术,结合多种引擎零规则查杀,低误报、高查杀率。 Html Gui界面使用bootstrap 自适应
php隐藏webshell_8款WebShell扫描检测查杀工具(附下载地址)
weixin_39819661的博客
11-09 841
webshell是一种可以在web服务器上执行后台脚本或者命令的后门,黑客通过入侵网站上传webshell后获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。而WebShell扫描检测工具可辅助查出该后门。WebShell扫描工具适用网上下载的源码特定文件检测是否是木马检测目标程序或文件是否存在后门免杀检测识别率测试1.D盾防火墙阿D出...
php webshell 木马,消灭php webshell与一句话木马
weixin_35990136的博客
03-11 849
总体来讲,对php webshell和一句话木马的查杀,主要从三个方面进行1.Shell特征2.PHP安全方面的函数和变量以及安全配置选项3.语法检测首先,基于Shell特征,此方法主要针对base64_decode编码与gzinflate等参考特征库与匹配算法:Web Shell Detector v1.51,当前共有296个特征https://github.com/emposha/PH...
webshell分析与查杀
weixin_43148062的博客
04-24 1250
webshellwebshell管理工具 webshell变形免杀技术 webshell查杀工具 一、webshellwebshell管理工具 回到顶部 二、webshell变形免杀技术 还有很多其他的手段…… 回到顶部 三、webshell查杀工具 D盾 WEBDIR+ 3. php-malware-finder 4. web shell detector 河马...
第06篇:10款Webshell查杀工具1
08-03
7. 深度学习模型检测PHP Webshell:采用深度学习技术的PHP Webshell查杀引擎,提供在线样本检测检测地址:http://webshell.cdxy.me/。 8. PHP Malware Finder:由jvoisin开发,用于检测Webshell和恶意混淆代码,...
Python基于卷积神经网络的webshell检测源代码,以php代码为例
06-25
1. **PHP Webshell定义**:PHP Webshell是一段具有命令执行功能的PHP代码,黑客利用它可以远程控制服务器,执行任意系统命令。 2. **检测需求**:由于Webshell的隐蔽性和多样性,传统基于规则的检测方法容易被绕过,...
Webshell后门查杀
12-20
Webshell后门查杀是网络安全领域中的一个重要环节,主要针对的是网站系统被恶意攻击者植入的WebshellWebshell是一种通过Web服务器漏洞植入的特殊脚本,它允许攻击者通过Web接口对目标服务器进行远程控制,执行任意...
几种好用的经典webshellphp
cnmeimei的博客
09-04 1121
php经典一句话: <?php echo shell_exec($_GET['cmd']);?> 中国菜刀:官网:www.maicaidao.co原理:上传一句话(<?php @eval($_POST['我是密码']);?>)至服务器端,再用中国菜刀客户端(图形化界面)去连接服务器 webacoo(kali):特点:传输的数据包裹在cookie中,并非http包体内,起到一定绕过作用原理:生成webshell,上传至目标服务器,再拿webacoo去连接该webshell...
PHPwebshell分析
angaoux03775的博客
01-07 136
 这几天已知在做webshell检测,JSP的不说了,特征检测起来很好匹配到,而且全是一家亲,互相模仿的居多。 今天看了一篇文章,看到14年蘑菇的webshell的后门然后很不错。 ============================================ 是按位取反。~ PHP:位运算符-http://www.php.net/manual/zh/langu...
查杀webshell记录
weixin_33953249的博客
12-01 218
网站被注入,由于每个web前端上包含的项目太多,一个htdocs目录下就20几个,查起来也比较头疼。之前也遇到过,但是那次是被上传到图片服务器,那个服务器根本就没有PHP环境,没有造成什么影响。而这次不同,有几个项目不是自己开发的,采用开源的UC-home。 摘自:http://blackbap.org/bbs/viewthread.php?tid=1058 ...
php正则查找,精确查找PHP WEBSHELL木马 修正版
weixin_29767917的博客
03-09 305
先来看下反引号可以成功执行命名的代码片段。代码如下:复制代码 代码如下:`ls -al`;`ls -al`;echo "sss"; `ls -al`;$sql = "SELECT `username` FROM `table` WHERE 1";$sql = 'SELECT `username` FROM `table` WHERE 1'/*无非是 前面有空白字符,或者在一行代码的结束之后,后面接...
php就近匹配,php匹配网址的正则 几乎可以匹配任何网址
weixin_42401338的博客
03-10 159
比较简单的$str = '';$isMatched = preg_match('/^^((https|http|ftp|rtsp|mms)?:\/\/)[^\s]+$/', $str, $matches);var_dump($isMatched, $matches);几乎可以匹配任何网址:^((https?|ftp|news):\/\/)?([a-z]([a-z0-9\-]*[\.。])+([a-...
Web安全】几款web安全查杀工具
m0_63715896的博客
08-31 1298
Webshell就是ASP,PHP,JSP,CGI等网页文件形式存在的一种代码执行环境,或者说是后门。黑客入侵网站可以通过编写好的后门获得网站或网站服务器的某种权限,获得权限要干什么懂得都懂了。
webshell查杀
weixin_43977912的博客
06-18 1129
常见检测方法有基于主机的流量-文件-日志检测、关键字(危险函数)匹配、语义分析等 使用工具查杀Web目录 Windows:D盾 - http://www.d99net.net/down/WebShellKill_V2.0.9.zip Linux:河马 - https://www.shellpub.com/ 工具查杀不靠谱,还是要手动查看Web目录下的可解析执行文件; 通过Web访问日志分析可快速定位到webshell位置。 网站被植入WebShell的应急响应流程 主要关注Web日志,看有哪些异常的HTT
应急响应-网站入侵篡改指南_Webshell内存马查杀_漏洞排查_时间分析
剁椒鱼头没剁椒的博客
10-25 2136
一般安服在做项目的时候,经常会遇到需要做应急响应的工作,所谓应急响应就是当网站出现异常的时候,根据相关的问题对其进行溯源分析,发现问题,解决问题。
WebShell是什么?如何抵御WebShell?
a38417的博客
08-10 2397
WebShell是黑客经常使用的一种恶意脚本,原理就是利用Web服务器自身的环境运行的恶意代码。就是通过WebShell脚本的上传,利用网页服务程序实现操控服务器的一种方式。以PHP语言为例,只需要编写一个简单的PHP代码文件,上传到网站目录中,就可以对网站服务器进行操控,包括读取数据库、删除文件、修改主页等都可以做到。这么一个简单的语句就可以为黑客入侵打开一扇大门,让黑客可以随意地执行任意代码。Webshell是通过服务器开放的端口获取服务器的某些权限。...
Webshell木马查杀排查
为了生活,不得不努力奋斗!
01-29 443
Webshell木马查杀排查。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值