公司的网站半夜的时候不能访问,折腾了一些时间弄好了
发现是.htaccess文件被改,还有index.html被清空

很可能是入侵者对网站系统不熟悉误操作让站点出现异常,否则我们不会发现后门

系统恢复以后进行了回溯,找到了一个后门webshell,可以上传文件

既然有了一个后门可能会有其他后门,找几个工具扫描了一下(多个工具作对比,让结果更加立体)


1.河马查杀(试用了几个最好用的一个,强烈推荐)
下载地址:https://www.shellpub.com/
帮助文档:https://www.shellpub.com/doc/hm_linux_usage.html

wget -O /opt/hm-linux.tgz http://dl.shellpub.com/hm/latest/hm-linux-amd64.tgz
tar xf hm-linux.tgz
cd hm
# 简单扫描
./hm scan 需要扫描的目录


./hm deepscan 你的web目录
扫描时开启深度解码


注意:
不要将本软件放置到web目录下
不要在web目录下运行软件,因为生成的结果文件会被下载可能被人恶意利用

生成的报告默认保存在当前目录下 result.csv

使用简单,报告明晰,而且扫描的结果也很准确


2.CloudWalker牧云:开源项目已经停止更新,结果明晰,可惜停止更新了
使用简单,直接下载添加可执行文件就可以扫描了

./webshell-detector -html -output result.html 需要扫描的目录


python版本的findwebshell

python main.py -e php -p /var/www/test -o output
-e 网页格式
-p 扫描的路径
-o 生成的html文件名,默认生成report.html

3.PHP Malware Finder查杀
使用方法:
# 安装yara依赖,这个工具要3.4以上版本
yum install yara -y
# 下载查杀源码
git clone https://github.com/nbs-system/php-malware-finder.git
cd php-malware-finder
yara -r ./php.yar /var/www


[/data/hm/php-malware-finder/php-malware-finder-master/php-malware-finder]# yara -r ./php.yar /home/edra0604/

ObfuscatedPhp /data/www/phpetector/shelldetect.php
DodgyPhp /data/www/phpetector/shelldetect.php
DangerousPhp /data/www/phpetector/shelldetect.php
DodgyStrings /data/www/phpetector/shelldetect.php
NonPrintableChars /data/www/share.php

4.findwebshell
一款python的扫描工具
https://github.com/he1m4n6a/findWebshell

# 运行参数
python main.py -e php -p /home/edra0604/public_html/ -o result02.html

扫描的结果一般,只能检测出有限的问题

5.Web Shell Detector直接拷贝到php目录就可以用
不推荐,不知道在干啥,好几个小时一直没有输出结果