Linux系统下如何查找并删除WebShell (linux 查找 webshell)

Linux 系统下如何查找并删除 WebShell？

随着互联网技术的不断发展，WebShell 也成为了黑客攻击的主要手段之一。它可以通过在服务器上注入恶意代码并获取系统权限，从而对服务器进行任意操作。因此，对于 Linux 系统管理员而言，确认服务器是否被 WebShell 植入以及及时清理是非常必要的。

那么，在 Linux 系统下如何查找并删除 WebShell？下面，让我们一步步来进行操作。

一、查找 WebShell

1.查找网站目录下是否有 WebShell 文件

使用如下命令查找网站所在目录下是否有 WebShell 文件：

“`

find /var/www/html/ -name “*.php” -type f -size +10k -print0 | xargs -0 egrep -H “r57shell|phpshells” > webshell.txt

“`

其中，`/var/www/html/` 表示网站所在目录，`*.php` 表示查找的文件类型，`-size +10k` 表示查找大于 10 KB 的文件，`r57shell` 和 `phpshells` 是常见的 WebShell 名称，也可以根据实际情况进行修改。执行该命令后，会在当前目录下生成一个名为 `webshell.txt` 的文件，其中包含了 WebShell 的文件路径和所在行数。

2.查找系统目录下是否有 WebShell 文件

使用如下命令查找系统目录下是否有 WebShell 文件：

“`

find / -name “*.php” -type f -size +10k -print0 | xargs -0 egrep -H “r57shell|phpshells” > webshell.txt

“`

与上一个命令类似，只是将查找目录改为根目录 `/`，需要注意的是，该操作会查找整个系统，耗时较长，建议使用时谨慎操作。

3.查看系统日志

使用如下命令查看服务器的访问日志：

“`

tl -f /var/log/httpd/access_log

“`

该命令可以查看最近访问服务器的客户端 IP 和访问路径，如果发现有非法访问以及可疑的 IP 地址，可以进一步排查是否被 WebShell 注入。

二、删除 WebShell

确认服务器被 WebShell 注入后，需要及时清除。具体操作如下：

1.删除 WebShell 文件

找到 WebShell 文件后，使用如下命令将其删除：

“`

rm -f /var/www/html/webshell.php

“`

其中，`/var/www/html/webshell.php` 为 WebShell 文件的路径，需根据实际情况修改。

2.修改 Web 服务器权限

Web 服务器的权限很重要，除了限制访问权限之外，还需要修改文件上传目录等权限，以防止被非法上传 WebShell。

a.限制访问权限

使用如下命令限制访问权限：

“`

chmod 755 /var/www/html/

“`

其中，`/var/www/html/` 为网站所在目录，755 表示所有者具有读、写、执行，组用户和其他用户具有读、执行权限。

b.修改文件上传目录权限

对于文件上传目录，建议将其权限设置为 777，以确保上传的文件能够进行操作（例如上传图片需要进行裁剪等操作）：

“`

chmod 777 /var/www/html/upload/

“`

具体权限设置可根据实际情况进行调整。

三、防范 WebShell 注入

除了查找并清除 WebShell，更重要的是要加强系统的安全防范，避免 WebShell 注入。具体措施如下：

1.定期更新系统及应用程序

通过定期更新系统及应用程序，可以解决已知的漏洞，减少系统的被攻击的风险，同时可以提升系统的稳定性和可用性。

2.限制 SSH 登录

使用 SSH 登录服务器时，需要限制登录的 IP 地址、端口号以及失败登录次数等，以防止非法登录。

3.禁止 PHP 函数

一些 PHP 函数存在漏洞，可能会被黑客利用，如 `eval()`、`system()` 等，建议禁止这些函数的使用，以提高系统安全性。

4.限制文件上传类型和大小

应对文件上传漏洞，需要对上传文件进行检查，限制上传文件的类型和大小，以避免非法上传 WebShell。

WebShell 注入是当前互联网安全领域的一个重要问题，根据 Linux 系统下查找并删除 WebShell 的方法，可以及时清除 WebShell，并且加强系统安全防范，以提高系统的安全性和稳定性。在实际操作过程中，需要根据实际情况进行调整和细化，以及加强系统的监控和管理，建立稳健而完善的安全体系。

相关问题拓展阅读：

• 河马webshell查杀工具能查出哪些潜在威胁
• 内网渗透之http隧道

河马webshell查杀工具能查出哪些潜在威胁

网站服务器被黑客入侵，这是我们身边时常会发生的事情，而当我们遇到网站服务器被入侵时，就需要借助工具来排查系统可能存在的安全漏洞，从而快速解决麻烦，规避风险，这其中webshell检测工具是必不可少的。本文为大家介绍6款常见的Webshell检测工具，看看你更中意哪一个?

　　1、D盾_Web查杀

　　阿d出品，使用自动研发不分扩展名的代码分析引擎，能分析更为隐藏的webshell后门行为。

　　兼容性：只提供windows版本。

　　下载地址：

　　2、百度WEBDIR+

　　下一代Webshell检测引擎，采用镇渣先进的动态监测羡铅技术，结合多种引擎零规则查杀。

　　兼容性：提供在线查杀木马，免费开兄旅好放API支持批量检测。

　　下载地址：

　　3、河马

　　专注webshell查杀研究，拥有海量webshell样本和自主查杀技术，采用传统特征+云端大数据双引擎的查杀技术。查杀速度快、精度高、误报低。

　　兼容性：支持windows、linux，支持在线查杀。

　　下载地址：

　　4、SangforWebShellKill

　　SangforWebShellKill，网站后门检测工具，是一款web后门专杀工具，不仅支持webshell的扫描，同时还支持暗链的扫描。是一款融合了多重检测引擎的查杀工具。能更精准地检测出web网站已知和未知的后门文件。

　　兼容性：支持windows、linux

　　下载地址：

　　5、CloudWalker(牧云)

　　一个可执行的命令行版本webshell检测工具。目前，项目已停止更新。

　　兼容性：提供linux版本，windows暂不支持。

　　下载地址：

　　6、PHPMalwareFinder

　　PHPMalwareFinder是一款优秀的检测webshell和恶意软件混淆代码的工具

　　兼容性：提供linux，windows暂不支持。

　　下载地址：

内网渗透之http隧道

最近在整理内网渗透的一些相关资料，隧道的搭建是后渗透阶段重要的一环。随着防守的手段不断升级，某些情况下只能搭建http隧道。

简介

通过HTTP协议与代理服务器建立连接，把所有要传送的数据全部封装到HTTP协议里进行传送，协议中包含有要连接的远程主机的IP和端口，连接成功之后会返回给客户端200，表示验证通过。

获取webshell的主机位于内网，并且该内网主机的icmp、dns、tcp和udp协议等都不能出网，唯一的数据通道是webshell搭建正向代理。

根据代理的稳定性、速度推荐Neo-reGeorg、reGeorg、abptts 三款工具。

可以称为reGeorg的升级版，且传输内容经过了base64编码，避免特征检查，有效绕过检测。

1.设置密码，生成tunnel的webshell，并上传到目标服务器。

windows上可以使用SocksCap64 或者proxifier工具配置代理。

以windows上的SocksCap64 为例，添加代理。

测试连接成功。

注意有个测试代理地址。

点击可测试。

linux上可以使用proxychains代理

编辑

添加代理IP以及端口即可。

kali本地工具就可以通过proxychains命令全部代理进内网。

注意代理不支持icmp协议。proxychains nmap -Pn -sT -sV -v -T4 IP

reGeorg 是 reDuh 的升级版。主要把内网服务器的端口通过http或https隧道转发到本机。

1.上传tunnel.nosocket.php到目标服务器。

2.连接tunnel.nosocket.php，配置代理。

在SocksCap64 添加代理。

测试连接成功。

abptts是一款基于ssl加密的http隧道工具。全程通信数据加密有效对抗检测。

1.安装python依赖库

2.本地运行，生成webshell

注意：该工具不支持php

将生成的代理脚本选择性上传到目标服务盯困散器。

返回hash值，说明代理正常执行。

建立隧道，将目标服务器的3389和尺滑本地的3389进行绑定。

远程连接本地的33389端口

另外：

冰蝎本身也有凯氏socks代理。

Tunna 也可以在内网代理中转发端口。

pystinger是通过webshell来实现内网的SOCK4代理。

使用python开发，当前支持php，jsp(x)，aspx三种代理脚本。可直接用于metasploit，cobalt strike上线。

1.上传proxy.jsp到目标服务器，确保可以正常访问。

2.上传stinger_server.exe 到目标服务器，并start命令运行该程序

vps 运行client端

将会在vps的6000端口启用socks4a代理

在SocksCap64 添加代理，测试一下。

配置60020端口的listener。

选择payload 生成artifact.exe，触发后即可上线。

vps可看到socks连接。

msfvenom生成60020端口的payload.exe

metasploit 配置对应的监听

将payload.exe在目标机上触发后，即可上线。

linux 查找 webshell的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于linux 查找 webshell,Linux系统下如何查找并删除WebShell,河马webshell查杀工具能查出哪些潜在威胁,内网渗透之http隧道的信息别忘了在本站进行查找喔。

香港服务器首选树叶云，2H2G首月10元开通。
树叶云（shuyeidc.com）提供简单好用，价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。