批量拿webshell軟件【全自動】是一款多線程批量掃描webshell的一款工具,掃出來百分之95都是一手的,包括百分之99都有首頁修改權限!
exp掃描原理,全自動檢測url是否存在內置的漏洞,如果存在就自動寫入一句話
觀看https://share.weiyun.com/NM8NH1Xt
被注入,由於每個web前端上包含的項目太多,一個htdocs目錄下就20幾個,查起來也比較頭疼。之前也遇到過,但是那次是被上傳到圖片服務器,那個服務器根本就沒有PHP環境,沒有造成什么影響。而這次不同,有幾個項目不是自己開發的,采用開源的UC-home。
影響版本:Ucenter Home 2.0(官方最新) + Ucenter 1.5(官方最新)
描述:
uchome<=2.0的程序中js.php文件存在代碼執行,原因是正則匹配時引號使用不當,導致可以任意提交並執行PHP代碼。
Php中單引號與雙引號是有區別的:
" "雙引號里面的字段會經過編譯器解釋,然后再當作HTML代碼輸出。
' '單引號里面的不進行解釋,直接輸出。
這里正則匹配后的2在雙引號里,導致了代碼可以執行。
1. 查找webhell
推薦幾個命令
find /data0/htdocs -name "*.php" |xargs grep "eval" |more
find /data0/htdocs -name "*.php" |xargs grep "shell_exec" |more
find /data0/htdocs -name "*.php" |xargs grep "passthru" |more
find /data0/htdocs -name "*.php" |xargs grep "base64_decode" |more
最后一條適用於webshell被轉化成base64編碼了,但是腳本里還是有base64_decode解碼的函數滴,當發現某個文件有base64_decode函數並且緊跟其后一大堆英文數組組合的東西,我們就需要注意了,找到這個文件,把它解碼看看內容。
2.做好防護
這里只說一個新方法(LAMP環境):
所有項目都是走的svn通道,每個php都會在.svn/text-base/有對應的記錄。我們可以寫一個腳本,在每個php程序執行之前先去執行這個腳本
在php.ini中設置執行每個php文件之前先執行某個腳本
auto_prepend_file = /usr/local/webserver/php/auto_prepend.php