WEB安全中Perl oneline如何查殺Webshell

這篇文章將為大家詳細講解有關WEB安全中Perl oneline如何查殺Webshell，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

根據Webshell中的一些特征字段進行搜索，就可以搜出可能含有木馬的的文件，特征字段可自行根據需要添加。

perl -lne 'print "$ARGV $_" if/(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/ '`find -type f -name "*.php"`

本行腳本解釋：這行代碼結合了find和Perl單行來實現Webshell的查殺，首先通過` find -type f -name "*.php"` 列出本目錄及子目錄下所有php文件，注意`反斜杠（tab上面的建），find命令參數 -type f表示類型為文件，-name "*.php"`表示文件名以php結尾（當然可以是其他類型，可以是其他特征）。find具體用法可以用find -h看說明，或者搜索引擎搜索其用法。

接著搜索到的所有php文件都被傳遞個Perl單行，perl對每一個文件按行進行正則搜索，搜索phpspy，c99sh，milw0rm，eval (gunerpress，eval (base64_decoolcode，spider_bc等關鍵詞，注意正則匹配中（為關鍵字需要在其前面加反斜杠\來轉義。最后把匹配到的文件名和行的內容輸出。

注意輸出的$ARGV表示文件列表中的每一個文件文件名，$_表示當前列表的當前項，此處表示匹配到的行內容。

以上的腳本輸出了每一個匹配的行，可以作為一個用來詳細核對每一個項目。實際中會需要只輸出有問題文件名，其實也簡單，對上述腳本稍做修改即可。

perl -lne '{$files{$ARGV}++ if/(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/}END{printfor keys %files} ' `find -type f -name "*.php"`

以上腳本在腳本1的基礎上用了個哈希變量 %files把匹配的每一行的文件名作為鍵，如果有匹配其值就+1，最后再END模塊輸出%files的鍵，即有匹配的文件名。當然也可以先把所有文件名都輸出然后重定向做個uniq也可以的。

perl -lne 'print "$ARGV" if/(phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc)/ '`find -type f -name "*.php"`|uniq

需要注意的是，以上查出來的文件，有可能是正常的php文件，需要你根據實際甄別處理（批量替換），不要誤殺了（處理以前注意備份俄）。

其他需要關注的是文件的修改時間和文件權限

查找最近一天被修改的PHP文件，根據這些特征也可以查找可以的文件，這個可以做為關鍵字查詢的前提。

find -type f -mtime -1 -name \*.php

修改網站的權限

find -type f -name \*.php -exec chmod 444 {} \;

find ./ -type d -exec chmod 555{} \;

More知識擴展：

1、linux下的批量查找和替換。

find . -type f -name "*.html"|xargs grep yourstring

2、查找并用perl One-liners替換

  perl -i -lpe 's#被替換的字符串#替換后的字符串#g' `find yourdir -type f -name "*.shtml"`

下面這個例子就是將當前目錄及所有子目錄下的所有*.shtml文件中的”<iframe src=http://com-indexl.com/ask/admin.html width=0height=0></iframe>“替換為”(空)“.

perl -i -lpe 's|<iframe src=http://com-indexl.com/ask/admin.html width=0height=0></iframe>| |g' `find . -type f -name "*.shtml"`

perl -i -pe

在Perl 命令中加上-e選項，后跟一行代碼，那它就會像運行一個普通的Perl 腳本那樣運行該代碼.

關于“WEB安全中Perl oneline如何查殺Webshell”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。