技术文章

Linux下利用grep查找webshell

WEB SHELL 排查

grep (global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来)是一种强大的文本搜索工具,它能使用正则表达式搜索文本,并把匹配的行打印出来。Unix的grep家族包括grep、egrep和fgrep。**

利用grep命令我们可以查找常见的漏洞、webshell和其他恶意文件。本文使用的grep版本为2.9,如果你使用一个低于2.5.4的grep,那本片文章中的一些命令可能无法正常工作。可以用grep -v或grep -version确定一下版本。你也可以使用grep –help查看更多信息。如下图:


webshell高级查杀

很多人一直注重于攻击,而轻视于防御。

攻击在于创新,防御在于全面。

用计算机的术语来说,攻是个单线程任务,你单核cpu频率越高,则效果愈好。

防则是个多线程任务,你cpu核心越多,则效果俞佳。

下面说webshell的查杀

  • 其实和pc一样,如安卓的恶意捆绑木马 和linux的恶意镜像源。一样的道路,web也要过一遍,pc端杀毒也是几个阶段。

  • 从最初的专杀到特征码查杀再到基于行为的查杀(启发式查杀),再到最近炒得火热的云查杀。

  • 说句题外话:所谓的云查杀更像是基于网络的特征码查杀。

  • 同理:服务器上的webshell查杀也需要走特征码的路线,在现在硬件水平高于网络通信带宽的情况下,特征码还是非常必要的,接下来的就是讲webshell的特征码问题。