- A+
所属分类:Linux
最近发现centos服务器上出现了一些木马程序,这些程序有几个明显特征:
- 文件名比较的杂乱无意义
- 还有一些会篡改现有正常的文件,在正常文件头部添加代码
- 木马的代码都经过加密,而且无法人为阅读。
根据以上的几个特征,可以在服务器端人工通过linux的操作命令找到木马程序文件:
|
1 2 3 4 5 6 7 8 |
#全盘搜索木马文件,并记录在/tmp/php.txt文件内 find / -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))" > /tmp/php.txt #全盘查找后缀为.php的文件,并且该文件内容有"eval"字样 find / -name "*.php" |xargs grep "eval" |more #一般的木马文件除了会有eval还有shell_exec,passthru等特殊字样,因此可以将上面的命令拓展 find / -name "*.php" |xargs grep "shell_exec" |more find / -name "*.php" |xargs grep "passthru" |more #然后通过more命令分屏显示,在人工查看文件做审查。 |
https://github.com/emposha/PHP-Shell-Detector另外,推荐一个可以检查wenshell的工具
按照说明,将两个文件上传到网站的根目录下,再去检测即可
![OpenAi[ChatGPT] 使用Python对接OpenAi APi 实现智能QQ机器人-学习详解篇](https://www.zxar520.com/wp-content/themes/begin5.2/timthumb.php?src=https://www.zxar520.com/wp-content/uploads/2023/02/1677441093.png&w=280&h=210&a=&zc=1)
