当前位置:WooYun(白帽子技术社区) >> 快速查找木马 >> [2013-03-12更新]查找Webshell的几个小工具
先给出地址:https://github.com/wofeiwo/webshell-find-tools
Author: wofeiwo#80sec.com2013-03-12:
1. fca.py完全重写,由于功能改变,现改名为File Changes Analyzer。
1. 添加了用户属主判断功能
2. 添加了MySQL into outfile导出webshell鉴别功能
2. ala.py的md5库导入存在bug修复。
fca的功能现在包括:
将文件系统中的文件按照改动时间区段分组。一般情况下,web目录下的文件创建时间是集中的。如果某些文件创建时间比较不合群,那么这个文件是webshell的可能性就很大。
根据给定的文件属主,将Web目录下不同属主的文件显示出来。这些文件很可能就是webserver生成的异常文件。
通过MySQL导出的webshell很常见,而MySQL导出的文件又有一定的特殊性,所有导出文件的权限都是666。通过这个过滤出所有MySQL导出的web脚本。很可能就是webshell。
这是我2010年初写的小脚本,主要是为了方便快速的通过文件行为特征,而不是特征内容字符,去查找webshell。
总共两个脚本:
ala.py (Access Log Analyzer)
这个脚本的思路是:分析Accesslog文件,然后按照访问次数、存在性排序所有请求的路径。去除所有静态文件。如果是个访问量较大的网站,通常访问最少的几个文件就是Webshell。
fca.py (File Ctime Analyzer)
这个脚本的思路是:将文件系统中的文件按照改动时间区段分组。一般情况下,web目录下的文件创建时间是集中的。如果某些文件创建时间比较不合群,那么这个文件是webshell的可能性就很大。
详细信息请直接点击顶上的链接吧。README里都有。
如果大家有更好的想法,欢迎github上pull给我你们的代码。我会整合到这个项目中。
Enjoy it