开发者社区> 问答> 正文

晒一下自写的webshell检查程序

以前一直用grep和find命令手工查找,过程十分繁琐,很早前就想写个程序自动化来操作,这两天终于动手给写出来了。


查杀思路: http://www.server110.com/web_sec/201408/10902.html
(理论上可以做到无任何遗漏,但是在实际操作上,检查越全面,越深入,工作量越大。一个网站可能会报出几百几千个文件,而且有些文件得去检查上下文,文章尾部有补充,这样的检查是十分耗时的)


下面这个例子,符合二个检查特征:单行过长,包含变量函数。

这台主机上一共十几个站, 从图上可以看到,一共检查到的变量函数共1444个,其中绝大多数都是网站程序自身的正常代码。



一般的webshell,从程序报的结果中就能直接看到,比如一楼的图中。


但是有些黑 客精心构造的webshell,必须检查下代码所在位置的上下文,才能确定是程序的自身代码,还是webshell的代码。
比如eval($_POST['pass']),可以通过检查结果直接判断出这是菜刀的后门,但是如果写成这样
$code = $_POST['pass'];
eval($code);
这就得去检查程序文件了,看看$code到底是什么内容。

展开
收起
云代维 2014-08-23 12:25:59 6430 0
4 条回答
写回答
取消 提交回答
  • www.aliyun.net.cn
    Re晒一下自写的webshell检查程序
    支持
    2014-08-24 18:38:47
    赞同 展开评论 打赏
  • 你是我偶像
    2014-08-24 16:01:50
    赞同 展开评论 打赏
  • Re晒一下自写的webshell检查程序
    像服务器之家同志致敬
    2014-08-24 13:50:26
    赞同 展开评论 打赏
  • 一个程序员,欢迎骚扰!!!
    发了一手好贴 表示无压力
    2014-08-23 13:53:59
    赞同 展开评论 打赏
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
代码未写,漏洞已出 立即下载
PHP安全开发_从白帽角度做安全 立即下载
PHP安全开发:从白帽角度做安全 立即下载