网站被挂马怎么查？查询服务器是否被上传webshell的方法

2018-03-15 10:08:38责编：llp 来源：驱动管家人气：

服务器被挂马或被黑的朋友应该知道，黑客入侵web服务器的第一目标是往服务器上上传一个webshell，有了webshell黑客就可以干更多的事情。网站被挂马后很多人会束手无策，无从查起，其实并不复杂，这里我将以php环境为例讲几个小技巧，希望对大家有帮助。

先讲一下思路，如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹，比如php文件的时间，如果我们可以查找最后一次网站代码更新以后的所有php文件，方法如下。

假设最后更新是10天前，我们可以查找10天内生成的可以php文件：

find /var/webroot -name “*.php” -mtime -10

命令说明：

/var/webroot为网站根目录

-name “*.php”为查找所有php文件

-time -10为截止到现在10天

如果文件更新时间不确定，我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字，我这里列出一些常用的，其他的大家可以从网收集一些webshell，总结自己的关键字，括号里面我总结的一些关键字（eval,shell_exec,passthru,popen,system）查找方法如下：

find /var/webroot -name “*.php” |xargs grep “eval” |more

find /var/webroot -name “*.php” |xargs grep “shell_exec” |more

find /var/webroot -name “*.php” |xargs grep “passthru” |more

当然你还可以导出到文件，下载下来慢慢分析：

find /home -name “*.php”|xargs grep “fsockopen”|more >test.log

这里我就不一一罗列了，如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断，判断的方法也简单，直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下，看得多了，基本上一眼就可以判断是不是webshell文件

常规入侵网站如何在root bat文件中插入木马？
我发现了一个网站，于是常规入侵。很好，它的FINGER开着，于是我编了一个SHELL，aaa帐号试到zzz（这是我发现的一个网上规律，那就是帐号的长度与口令的强度成正比，如果一个帐号只有两三位长，那它的口令一般也
详情2018-03-02 16:26:32责编：llp 来源：驱动管家
服务器安全狗怎么添加用户？超简单！
前几天发现的，略无语，因为简单到。。直接在命令行下使用for l %i in (1,1,1000) do @net user test test add&@net localgroup administrators test add另存为 ad bat 使用for l %%i in
详情2018-01-18 11:25:50责编：llp 来源：驱动管家
libpng库存在导致程序库应用程序崩溃的漏洞
受影响系统：libpng libpng 1 2 21不受影响系统：libpng libpng 1 2 22 rc1描述：--------------------------------------------------------------------------------BUGTRAQ ID: 25957libpng是多种应用
详情2018-03-12 13:23:27责编：llp 来源：驱动管家
大势至电脑文件防泄密系统安装时出现“用户密码错误”弹窗如何解决？
大势至电脑文件防泄密系统是一款保护电脑文件安全，防止员工随意将电脑文件外传的管理软件。系统分为两个版本，一个是单机版，适用于单机使用，另一个是网络版，适用于同一个局域网，可批量管理和修改用户电脑的
详情2018-01-30 09:29:15责编：llp 来源：驱动管家
u盘启动盘制作工具有风险盗版软件多且可能带病毒
一、概述1 盗版软件用户和“APT攻击”我国电脑用户当中，使用盗版软件是非常普遍的现象，从盗版的Windows系统到各种收费软件的“破解版”等等。互联网上也充斥着各种帮助用户使用盗版的“激活工具”、“破解工具
详情2018-01-18 14:39:47责编：llp 来源：驱动管家
mcu是什么？mcu是怎么被黑客破解的？
MCU就是大家所熟悉的微控制单元，或者单片微型计算机，或者单片机，攻破MCU有很多种方法，下面小编就为大家具体的讲解黑客是怎么破解MCU的。这篇文章是俄国人Sergei P Skorobogatov就读英吉利剑桥大学之博士论文
详情2018-01-24 20:07:20责编：llp 来源：驱动管家
怎么破解40位的md5加密？40位的md5加密破解之法
一般网站后台管理员密码都是经过MD5加密的，差不多都是16位和32位的，如果第一次碰到40位的加密，还真反映不过来，其实都是一样的。7a57a5a743894a0e4a801fc343894a0e4a801fc3原文是admin这个实际上还是MD5加密，
详情2018-01-16 15:26:38责编：llp 来源：驱动管家
debug是什么意思？如何使用debug去清除cmos密码？
debug是什么意思？在DOS系统中的调试程序，程序名称就叫DEBUG；在windows系统中有DEBUG调试工具；在程序开发软件类中，有专门DEBUG调试菜单。它的来源故事是美国计算机科学家葛丽丝·霍波（Grace Hopper）在调试
详情2018-01-18 08:52:44责编：llp 来源：驱动管家
怎么预防溢出类攻击？怎么防止溢出获取shell的进一步入侵？
在频频恶意攻击用户、系统漏洞层出不穷的今天，作为网络管理员、系统管理员虽然在服务器的安全上都下了不少功夫，诸如及时打上系统安全补丁、进行一些常规的安全配置，但有时仍不安全。因此必须恶意用户入侵之前
详情2018-02-28 09:46:48责编：llp 来源：驱动管家
怎么透过sniff进行入侵？要使用哪些入侵工具？
所用武器：流光，SUPERSCAN3，HDOOR，NETCAT，3389客户端，X-SNIFF 宿舍装了ADSL，我疯狂地在网上看电影和在QQ里泡MM（也可能是恐龙吧 :( ）。网络入侵和安全方面的学习已经荒废了好一段时间 :( ,忽然觉得良心发现，是时候回到学
详情2018-03-05 09:45:45责编：llp 来源：驱动管家