服务器上被上传了webshell 肯定能够查到蛛丝马迹,
比如php文件的时间,如果我们可以查找最后一次网站代码更新以后的所有php文件
方法如下: 假设最后更新是10天前我们可以查找10天内生成的可以php文件:
find /var/www/ -name “*.php” -mtime -10
也可以通过关键字的形式查找 常见的木马常用代码函数 eval,shell_exec,passthru,popen,system
find /var/www/ -name “*.php” |xargs grep “eval” |more find /var/www/ -name “*.php” |xargs grep “shell_exec” |more find /var/www/ -name “*.php” |xargs grep “passthru” |more
还有查看access.log 当然前提是你网站的所有php文件不是很多的情况下
一句话查找PHP木马 # find ./ -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decode|spider_bc”> /tmp/php.txt # grep -r –include=*.php ’[^a-z]eval($_POST’ . > /tmp/eval.txt # grep -r –include=*.php ’file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt # find ./ -name “*.php” -type f -print0 | xargs -0 egrep “(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decode|eval(base64_decode|spider_bc|gzinflate)” | awk -F: ‘{print $1}’ | sort | uniq 查找最近一天被修改的PHP文件 # find -mtime -1 -type f -name *.php 修改网站的权限 # find -type f -name *.php -exec chmod 444 {} ; # find ./ -type d -exec chmod 555{} ;