V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Ranh
V2EX  ›  Linux

请问 Linux 下有什么好用的查 webshell 木马工具?

  •  
  •   Ranh · 2016-08-20 19:57:01 +08:00 · 4300 次点击
    这是一个创建于 3018 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前试了下用 Shell 脚本匹配,但是特征少的可怜,多了又误报,
    用"SeayFindShell"这个 python 脚本查还行,但是基本都是正对 php 的, jsp 的 shell 基本查不出来,
    某狗虽然有 linux 版,但这种装一台挂一台的程序还是不敢用,大家有什么好的建议或者推荐的吗?。
    9 条回复    2016-08-22 03:07:39 +08:00
    odoooo
        1
    odoooo  
       2016-08-20 22:07:14 +08:00
    如果没有变量追踪的类似需求,使用 find 命令是坠好的!
    int64ago
        2
    int64ago  
       2016-08-20 22:52:33 +08:00
    我用 WebShell 的时候最担心其实是 git + inotify + iptables 类似这种的

    与其查,不如一开始就防
    Ranh
        3
    Ranh  
    OP
       2016-08-20 23:49:16 +08:00
    @odoooo 恩 jsp 的我是用 find 的 php 用"SeayFindShell"
    @int64ago 乙方..
    jyf007
        4
    jyf007  
       2016-08-21 09:27:42 +08:00 via Android
    这是我现在的需求啊。
    q397064399
        5
    q397064399  
       2016-08-21 14:52:45 +08:00   ❤️ 1
    大部分 webshell 应该都有一个在正常开发中使用的非常少的函数
    例如 php eval()之类,不知道 includefile='shell.jpg' 这种洞还存在不
    可以的话 把市面上的 webshell 都下载一遍 手工提取特征码,讲道理的话,一个 webshell 真要跑起来
    有些特征是跑不掉的
    itisthecon
        6
    itisthecon  
       2016-08-21 17:13:38 +08:00 via Android   ❤️ 1
    善用 find+grep
    dion
        7
    dion  
       2016-08-21 19:36:44 +08:00
    @q397064399
    是的,流量是不能伪造的。
    q397064399
        8
    q397064399  
       2016-08-21 19:58:29 +08:00
    @dion 你可以过滤下 web 的路由记录,查看有没有特殊的路由地址 例如 xxx.php?之类的
    Ranh
        9
    Ranh  
    OP
       2016-08-22 03:07:39 +08:00
    @q397064399 php 的话"SeayFindShell"好像可以做到变量追踪的,现在就是把 https://github.com/tennc/webshell 的 shell 都下载下来了,特征码提取有点蛋疼...
    @itisthecon 恩 find+egrep
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3590 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 10:58 · PVG 18:58 · LAX 02:58 · JFK 05:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.