Linux系统

Linux系统下如何查找并删除WebShell (linux 查找 webshell)

Linux 系统下如何查找并删除 WebShell?

随着互联网技术的不断发展,WebShell 也成为了黑客攻击的主要手段之一。它可以通过在服务器上注入恶意代码并获取系统权限,从而对服务器进行任意操作。因此,对于 Linux 系统管理员而言,确认服务器是否被 WebShell 植入以及及时清理是非常必要的。

那么,在 Linux 系统下如何查找并删除 WebShell?下面,让我们一步步来进行操作。

一、查找 WebShell

1.查找网站目录下是否有 WebShell 文件

使用如下命令查找网站所在目录下是否有 WebShell 文件:

“`

find /var/www/html/ -name “*.php” -type f -size +10k -print0 | xargs -0 egrep -H “r57shell|phpshells” > webshell.txt

“`

其中,`/var/www/html/` 表示网站所在目录,`*.php` 表示查找的文件类型,`-size +10k` 表示查找大于 10 KB 的文件,`r57shell` 和 `phpshells` 是常见的 WebShell 名称,也可以根据实际情况进行修改。执行该命令后,会在当前目录下生成一个名为 `webshell.txt` 的文件,其中包含了 WebShell 的文件路径和所在行数。

2.查找系统目录下是否有 WebShell 文件

使用如下命令查找系统目录下是否有 WebShell 文件:

“`

find / -name “*.php” -type f -size +10k -print0 | xargs -0 egrep -H “r57shell|phpshells” > webshell.txt

“`

与上一个命令类似,只是将查找目录改为根目录 `/`,需要注意的是,该操作会查找整个系统,耗时较长,建议使用时谨慎操作。

3.查看系统日志

使用如下命令查看服务器的访问日志:

“`

tl -f /var/log/httpd/access_log

“`

该命令可以查看最近访问服务器的客户端 IP 和访问路径,如果发现有非法访问以及可疑的 IP 地址,可以进一步排查是否被 WebShell 注入。

二、删除 WebShell

确认服务器被 WebShell 注入后,需要及时清除。具体操作如下:

1.删除 WebShell 文件

找到 WebShell 文件后,使用如下命令将其删除:

“`

rm -f /var/www/html/webshell.php

“`

其中,`/var/www/html/webshell.php` 为 WebShell 文件的路径,需根据实际情况修改。

2.修改 Web 服务器权限

Web 服务器的权限很重要,除了限制访问权限之外,还需要修改文件上传目录等权限,以防止被非法上传 WebShell。

a.限制访问权限

使用如下命令限制访问权限:

“`

chmod 755 /var/www/html/

“`

其中,`/var/www/html/` 为网站所在目录,755 表示所有者具有读、写、执行,组用户和其他用户具有读、执行权限。

b.修改文件上传目录权限

对于文件上传目录,建议将其权限设置为 777,以确保上传的文件能够进行操作(例如上传图片需要进行裁剪等操作):

“`

chmod 777 /var/www/html/upload/

“`

具体权限设置可根据实际情况进行调整。

三、防范 WebShell 注入

除了查找并清除 WebShell,更重要的是要加强系统的安全防范,避免 WebShell 注入。具体措施如下:

1.定期更新系统及应用程序

通过定期更新系统及应用程序,可以解决已知的漏洞,减少系统的被攻击的风险,同时可以提升系统的稳定性和可用性。

2.限制 SSH 登录

使用 SSH 登录服务器时,需要限制登录的 IP 地址、端口号以及失败登录次数等,以防止非法登录。

3.禁止 PHP 函数

一些 PHP 函数存在漏洞,可能会被黑客利用,如 `eval()`、`system()` 等,建议禁止这些函数的使用,以提高系统安全性。

4.限制文件上传类型和大小

应对文件上传漏洞,需要对上传文件进行检查,限制上传文件的类型和大小,以避免非法上传 WebShell。

WebShell 注入是当前互联网安全领域的一个重要问题,根据 Linux 系统下查找并删除 WebShell 的方法,可以及时清除 WebShell,并且加强系统安全防范,以提高系统的安全性和稳定性。在实际操作过程中,需要根据实际情况进行调整和细化,以及加强系统的监控和管理,建立稳健而完善的安全体系。

相关问题拓展阅读:

河马webshell查杀工具能查出哪些潜在威胁

网站服务器被黑客入侵,这是我们身边时常会发生的事情,而当我们遇到网站服务器被入侵时,就需要借助工具来排查系统可能存在的安全漏洞,从而快速解决麻烦,规避风险,这其中webshell检测工具是必不可少的。本文为大家介绍6款常见的Webshell检测工具,看看你更中意哪一个?

  1、D盾_Web查杀

  阿d出品,使用自动研发不分扩展名的代码分析引擎,能分析更为隐藏的webshell后门行为。

  兼容性:只提供windows版本。

  下载地址:

  2、百度WEBDIR+

  下一代Webshell检测引擎,采用镇渣先进的动态监测羡铅技术,结合多种引擎零规则查杀。

  兼容性:提供在线查杀木马,免费开兄旅好放API支持批量检测。

  下载地址:

  3、河马

  专注webshell查杀研究,拥有海量webshell样本和自主查杀技术,采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。

  兼容性:支持windows、linux,支持在线查杀。

  下载地址:

  4、SangforWebShellKill

  SangforWebShellKill,网站后门检测工具,是一款web后门专杀工具,不仅支持webshell的扫描,同时还支持暗链的扫描。是一款融合了多重检测引擎的查杀工具。能更精准地检测出web网站已知和未知的后门文件。

  兼容性:支持windows、linux

  下载地址:

  5、CloudWalker(牧云)

  一个可执行的命令行版本webshell检测工具。目前,项目已停止更新。

  兼容性:提供linux版本,windows暂不支持。

  下载地址:

  6、PHPMalwareFinder

  PHPMalwareFinder是一款优秀的检测webshell和恶意软件混淆代码的工具

  兼容性:提供linux,windows暂不支持。

  下载地址:

内网渗透之http隧道

最近在整理内网渗透的一些相关资料,隧道的搭建是后渗透阶段重要的一环。随着防守的手段不断升级,某些情况下只能搭建http隧道。

简介

通过HTTP协议与代理服务器建立连接,把所有要传送的数据全部封装到HTTP协议里进行传送,协议中包含有要连接的远程主机的IP和端口,连接成功之后会返回给客户端200,表示验证通过。

获取webshell的主机位于内网,并且该内网主机的icmp、dns、tcp和udp协议等都不能出网,唯一的数据通道是webshell搭建正向代理。

根据代理的稳定性、速度推荐Neo-reGeorg、reGeorg、abptts 三款工具。

可以称为reGeorg的升级版,且传输内容经过了base64编码,避免特征检查,有效绕过检测。

1.设置密码,生成tunnel的webshell,并上传到目标服务器。

windows上可以使用SocksCap64 或者proxifier工具配置代理。

以windows上的SocksCap64 为例,添加代理。

测试连接成功。

注意有个测试代理地址。

点击可测试。

linux上可以使用proxychains代理

编辑

添加代理IP以及端口即可。

kali本地工具就可以通过proxychains命令全部代理进内网。

注意代理不支持icmp协议。proxychains nmap -Pn -sT -sV -v -T4 IP

reGeorg 是 reDuh 的升级版。主要把内网服务器的端口通过http或https隧道转发到本机。

1.上传tunnel.nosocket.php到目标服务器。

2.连接tunnel.nosocket.php,配置代理。

在SocksCap64 添加代理。

测试连接成功。

abptts是一款基于ssl加密的http隧道工具。全程通信数据加密有效对抗检测。

1.安装python依赖库

2.本地运行,生成webshell

注意:该工具不支持php

将生成的代理脚本选择性上传到目标服务盯困散器。

返回hash值,说明代理正常执行。

建立隧道,将目标服务器的3389和尺滑本地的3389进行绑定。

远程连接本地的33389端口

另外:

冰蝎本身也有凯氏socks代理。

Tunna 也可以在内网代理中转发端口。

pystinger是通过webshell来实现内网的SOCK4代理。

使用python开发,当前支持php,jsp(x),aspx三种代理脚本。可直接用于metasploit,cobalt strike上线。

1.上传proxy.jsp到目标服务器,确保可以正常访问。

2.上传stinger_server.exe 到目标服务器,并start命令运行该程序

vps 运行client端

将会在vps的6000端口启用socks4a代理

在SocksCap64 添加代理,测试一下。

配置60020端口的listener。

选择payload 生成artifact.exe,触发后即可上线。

vps可看到socks连接。

msfvenom生成60020端口的payload.exe

metasploit 配置对应的监听

将payload.exe在目标机上触发后,即可上线。

linux 查找 webshell的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于linux 查找 webshell,Linux系统下如何查找并删除WebShell,河马webshell查杀工具能查出哪些潜在威胁,内网渗透之http隧道的信息别忘了在本站进行查找喔。


数据运维技术 » Linux系统下如何查找并删除WebShell (linux 查找 webshell)
分享到:

相关推荐