这是一个创建于 3003 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前试了下用 Shell 脚本匹配,但是特征少的可怜,多了又误报,
用"SeayFindShell"这个 python 脚本查还行,但是基本都是正对 php 的, jsp 的 shell 基本查不出来,
某狗虽然有 linux 版,但这种装一台挂一台的程序还是不敢用,大家有什么好的建议或者推荐的吗?。
用"SeayFindShell"这个 python 脚本查还行,但是基本都是正对 php 的, jsp 的 shell 基本查不出来,
某狗虽然有 linux 版,但这种装一台挂一台的程序还是不敢用,大家有什么好的建议或者推荐的吗?。
 |
1
odoooo 2016-08-20 22:07:14 +08:00
如果没有变量追踪的类似需求,使用 find 命令是坠好的!
|
 |
2
int64ago 2016-08-20 22:52:33 +08:00
我用 WebShell 的时候最担心其实是 git + inotify + iptables 类似这种的
与其查,不如一开始就防 |
 |
4
jyf007 2016-08-21 09:27:42 +08:00 via Android
这是我现在的需求啊。
|
 |
5
q397064399 2016-08-21 14:52:45 +08:00  1
大部分 webshell 应该都有一个在正常开发中使用的非常少的函数
例如 php eval()之类,不知道 includefile='shell.jpg' 这种洞还存在不 可以的话 把市面上的 webshell 都下载一遍 手工提取特征码,讲道理的话,一个 webshell 真要跑起来 有些特征是跑不掉的 |
 |
6
itisthecon 2016-08-21 17:13:38 +08:00 via Android 1
善用 find+grep
|
 |
7
dion 2016-08-21 19:36:44 +08:00
@q397064399
是的,流量是不能伪造的。 |
|
8
q397064399 2016-08-21 19:58:29 +08:00
@dion 你可以过滤下 web 的路由记录,查看有没有特殊的路由地址 例如 xxx.php?之类的
|
 |
9
Ranh OP @q397064399 php 的话"SeayFindShell"好像可以做到变量追踪的,现在就是把 https://github.com/tennc/webshell 的 shell 都下载下来了,特征码提取有点蛋疼...
@itisthecon 恩 find+egrep |
Select Language