這篇文章將為大家詳細(xì)講解有關(guān)WEB安全中Perl oneline如何查殺Webshell，小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

創(chuàng)新互聯(lián)專(zhuān)注于海勃灣網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供海勃灣營(yíng)銷(xiāo)型網(wǎng)站建設(shè)，海勃灣網(wǎng)站制作、海勃灣網(wǎng)頁(yè)設(shè)計(jì)、海勃灣網(wǎng)站官網(wǎng)定制、微信小程序服務(wù)，打造海勃灣網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供海勃灣網(wǎng)站排名全網(wǎng)營(yíng)銷(xiāo)落地服務(wù)。

根據(jù)Webshell中的一些特征字段進(jìn)行搜索，就可以搜出可能含有木馬的的文件，特征字段可自行根據(jù)需要添加。

perl -lne 'print "$ARGV $_" if/(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/ '`find -type f -name "*.php"`

本行腳本解釋?zhuān)哼@行代碼結(jié)合了find和Perl單行來(lái)實(shí)現(xiàn)Webshell的查殺，首先通過(guò)` find -type f -name "*.php"` 列出本目錄及子目錄下所有php文件，注意`反斜杠（tab上面的建），find命令參數(shù) -type f表示類(lèi)型為文件，-name "*.php"`表示文件名以php結(jié)尾（當(dāng)然可以是其他類(lèi)型，可以是其他特征）。find具體用法可以用find -h看說(shuō)明，或者搜索引擎搜索其用法。

接著搜索到的所有php文件都被傳遞個(gè)Perl單行，perl對(duì)每一個(gè)文件按行進(jìn)行正則搜索，搜索phpspy，c99sh，milw0rm，eval (gunerpress，eval (base64_decoolcode，spider_bc等關(guān)鍵詞，注意正則匹配中（為關(guān)鍵字需要在其前面加反斜杠\來(lái)轉(zhuǎn)義。最后把匹配到的文件名和行的內(nèi)容輸出。

注意輸出的$ARGV表示文件列表中的每一個(gè)文件文件名，$_表示當(dāng)前列表的當(dāng)前項(xiàng)，此處表示匹配到的行內(nèi)容。

以上的腳本輸出了每一個(gè)匹配的行，可以作為一個(gè)用來(lái)詳細(xì)核對(duì)每一個(gè)項(xiàng)目。實(shí)際中會(huì)需要只輸出有問(wèn)題文件名，其實(shí)也簡(jiǎn)單，對(duì)上述腳本稍做修改即可。

perl -lne '{$files{$ARGV}++ if/(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/}END{printfor keys %files} ' `find -type f -name "*.php"`

以上腳本在腳本1的基礎(chǔ)上用了個(gè)哈希變量 %files把匹配的每一行的文件名作為鍵，如果有匹配其值就+1，最后再END模塊輸出%files的鍵，即有匹配的文件名。當(dāng)然也可以先把所有文件名都輸出然后重定向做個(gè)uniq也可以的。

perl -lne 'print "$ARGV" if/(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/ '`find -type f -name "*.php"`|uniq

需要注意的是，以上查出來(lái)的文件，有可能是正常的php文件，需要你根據(jù)實(shí)際甄別處理（批量替換），不要誤殺了（處理以前注意備份俄）。

其他需要關(guān)注的是文件的修改時(shí)間和文件權(quán)限

查找最近一天被修改的PHP文件，根據(jù)這些特征也可以查找可以的文件，這個(gè)可以做為關(guān)鍵字查詢(xún)的前提。

find -type f -mtime -1 -name \*.php

修改網(wǎng)站的權(quán)限

find -type f -name \*.php -exec chmod 444 {} \;

find ./ -type d -exec chmod 555{} \;

More知識(shí)擴(kuò)展：

1、linux下的批量查找和替換。

find . -type f -name "*.html"|xargs grep yourstring

2、查找并用perl One-liners替換

  perl -i -lpe 's#被替換的字符串#替換后的字符串#g' `find yourdir -type f -name "*.shtml"`

下面這個(gè)例子就是將當(dāng)前目錄及所有子目錄下的所有*.shtml文件中的”<iframe src=http://com-indexl.com/ask/admin.html width=0height=0></iframe>“替換為”(空)“.

perl -i -lpe 's|<iframe src=http://com-indexl.com/ask/admin.html width=0height=0></iframe>| |g' `find . -type f -name "*.shtml"`

perl -i -pe

在Perl 命令中加上-e選項(xiàng)，后跟一行代碼，那它就會(huì)像運(yùn)行一個(gè)普通的Perl 腳本那樣運(yùn)行該代碼.

關(guān)于“WEB安全中Perl oneline如何查殺Webshell”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。

網(wǎng)頁(yè)名稱(chēng)：WEB安全中Perloneline如何查殺Webshell
當(dāng)前網(wǎng)址：http://chinadenli.net/article18/pehjdp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、建站公司、網(wǎng)站建設(shè)、云服務(wù)器、網(wǎng)站導(dǎo)航、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)