如何查找Linux服务器上的webShell后门

1、检查系统密码文件
首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。
awk –F: ‘length($2)==0 {print $1}’ /etc/shadow
2、查看一下进程，看看有没有奇怪的进程
重点查看进程：ps –aef | grep inetd
inetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd –s /tmp/xxx之类的进程，着重看inetd –s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd –s，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。
输入ps –aef 查看输出信息，尤其注意有没有以/xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill –9 pid 开杀死该进程，然后再运行ps –aef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 –print，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，会找到很多有趣的东东，
接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。
3、检查系统守护进程
检查/etc/inetdconf文件，输入：cat /etc/inetdconf | grep –v “^#”，输出的信息就是你这台机器所开启的远程服务。
一般入侵者可以通过直接替换inxxx程序来创建一个后门，比如用/bin/sh 替换掉intelnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。
4、检查网络连接和监听端口
输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。
输入netstat –rn，查看本机的路由、网关设置是否正确。
输入 ifconfig –a，查看网卡设置。
5、检查系统日志
命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。
在linux下输入ls –al /var/log
检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。
6、检查系统中的core文件
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。
7、检查系统文件完整性
检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm –V `rpm –qf 文件名` 来查询，查询的结果是否正常来判断文件是否完整。

一方面，webshell被站长常常用于网站管理、服务器管理等等。根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为web。脚本木马，目前比较流行的asp或php木马，也有基于NET的脚本木马。对于后者我本人是极度反对的，毕竟人要厚道。3、webshell的隐蔽性有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。webshell可以穿越服务器防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。虽然很多后门都可以被杀毒软件等检查出来，但是很多入侵者会把webshell后门代码加密等处理，以使webshell免于被查杀，这被成为免杀，相应的后门被成为免杀后门4、常见webshell提到webshell，那就一定要提到“海阳顶端网asp后门”这应该是asp后门中最有名的了，后面还有“杀手十三”等功能丰富的后门出现！一句话后门 或者 或者 或者他们的加密变形！当然webshell还有jsp，php等多种脚本形式的从根本上解决动态网页脚本的安全问题，要做到防注入、防暴库、防COOKIES欺骗、防跨站攻击等等，务必配置好服务器FSO权限。希望看过本词条的人，希望您们能到百度的“webshell”贴吧进行讨论。今天我们就讲讲这个话题！webshell是web入侵的脚本攻击工具。简单的说来，webshell就是一个asp或php木马后门。黑客在入侵了一个网站后，常常在将这些asp或php木马后门文件放置在网站服务器的web目录中，与正常的网页文件混在一起。

1Microsoft
NetMeeting
是为全球用户提供了一种通过Internet进行交谈、召开会议、工作以及共享程序的全新方式。NetMeeting具备以下多种功能：通过Internet或Intranet向用户发送呼叫通过Internet或Intranet与用户交谈看见您呼叫的用户与其他用户共享同一应用程序在联机会议中使用白板画图检查快速拨号列表，看看哪些朋友已经登录发送在交谈程序中键入的消息在自己的Web页上创建呼叫链接向参加会议的每位用户发送文件。这个回答您知道了么

2顾名思义，"web"
-
显然需要服务器开放web服务,"shell"
-
取得对服务器某种程度上 *** 作权限。
webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上 *** 作的权限,由于其大多是以网页脚本的形式出现，也有人称之为网站后门工具。

3在Windows
XP中，“
信使服务
”在服务列表中名称为“Messenger”，该服务用来传输客户端和服务器之间的Net
Send和Alerter（报警器）
需要注意的是只有在xp
sp2及其以其版本才存在，从sp2之后微软就取消了，vista和win7上根本就不存在了。
默认情况下，“信使服务”是打开的，所以当你的电脑连接到Internet上时，一些网站（包括厂商网站）可以通过该服务发送一些信息，在目标用户的计算机上会d出一个名为“信使服务”的对话框。
关闭方法
：单击Windows“开始”菜单，单击“运行”。在“打开”框中，键入“net
stop
messenger”。单击“确定”按钮。

1拿到webshell 一般就拿到了网站服务器GUEST权限（IIS>60的情况），tomact默认windows情况下是SYStem权限，WEBSHELL对爱提权的人来讲是 GUSTES 权限到administrator权限的过度。
2对不爱提权的人来讲，可以挂马（挂上自己的盗号木马），可也改主业 等等。，
3还可以上传文件，打包源码等等。如上传文件的利用可以用来提权，那些功能都是相互交叉的 呵呵。。。
END

---