linux系统网站木马后门Webshell查杀工具源码-低调大师

linux系统网站木马后门Webshell查杀工具源码

2018-06-10 1029

后门这东西好让人头疼，第一文件太多了，不容易找，第二，难找，需要特征匹配啊。搞了一个python版查杀php webshell后门工具，大家可以增加后门的特征码，然后甩到后台给他查杀就可以了。适合Linux系统服务器的站长们

这个代码比较简单，大家可以自己继续完善下。主要是根据特征来匹配查找网站木马后门文件。

    
       01 
       #!/usr/bin/python 
      
       02 
       # -*- coding: utf-8 -*- 
      
       03 
       #blog:www.sinesafe.com 
      
       04 
       
       05 
       import os 
      
       06 
       import sys 
      
       07 
       import re 
      
       08 
       
       09 
       rulelist = [ 
      
       10 
           '(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(GET|POST|REQUEST)\[.{0,15}\]\))', 
      
       11 
           '(base64_decode\([\'"][\w\+/=]{200,}[\'"]\))', 
      
       12 
           'eval\(base64_decode\(', 
      
       13 
           '(eval\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))', 
      
       14 
           '(assert\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))', 
      
       15 
           '(\$[\w_]{0,15}\(\$_(POST|GET|REQUEST)\[.{0,15}\]\))', 
      
       16 
           '(wscript\.shell)', 
      
       17 
           '(gethostbyname\()', 
      
       18 
           '(cmd\.exe)', 
      
       19 
           '(shell\.application)', 
      
       20 
           '(documents\s+and\s+settings)', 
      
       21 
           '(system32)', 
      
       22 
           '(serv-u)', 
      
       23 
           '(提权)', 
      
       24 
           '(phpspy)', 
      
       25 
           '(后门)', 
      
       26 
           '(webshell)', 
      
       27 
           '(Program\s+Files)' 
      
       28 
       ] 
      
       29 
       
       30 
       def Scan(path): 
      
       31 
           for root,dirs,files in os.walk(path): 
      
       32 
               for filespath in files: 
      
       33 
                   isover = False 
      
       34 
                   if '.' in filespath: 
      
       35 
                       ext = filespath[(filespath.rindex('.')+1):] 
      
       36 
                       if ext=='php': 
      
       37 
                           file= open(os.path.join(root,filespath)) 
      
       38 
                           filestr = file.read() 
      
       39 
                           file.close() 
      
       40 
                           for rule in rulelist: 
      
       41 
                               result = re.compile(rule).findall(filestr) 
      
       42 
                               if result: 
      
       43 
                                   print '文件：'+os.path.join(root,filespath) 
      
       44 
                                   print '恶意代码：'+str(result[0]) 
      
       45 
                                   print '\n\n' 
      
       46 
                                   break 
      
       47 
       
       48 
       if os.path.lexists(sys.argv[1]): 
      
       49 
           print('\n\n开始扫描：'+sys.argv[1]) 
      
       50 
           print('               可疑文件                 ') 
      
       51 
           print('########################################') 
      
       52 
           Scan(sys.argv[1]) 
      
       53 
           print('提示：扫描完成-- O(∩_∩)O哈哈~') 
      
       54 
       else: 
      
       55 
           print '提示：指定的扫描目录不存在---  我靠( \'o′)！！凸'

查到后门文件后直接删除掉，光删除是不行的得找到问题的根源到底是从哪里的漏洞上传上来的，那就有必须要对程序代码进行安全审计了建议大家找专业做安全的来做深入的安全部署(建议找专业做安全的国内公司如：Sinesafe,绿盟,启明星辰等等都是比较不错的专业做网站安全的公司)

微信关注我们

原文链接：https://yq.aliyun.com/articles/604167

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

本文详细总结了PHP网站在Linux服务器上面的安全配置，包含PHP安全、mysql数据库安全、web服务器安全、木马查杀和防范等，很好很强大很安全。(如果需要深入的安全部署建议找专业做安全的国内公司如：Sinesafe,绿盟,启明星辰等等都是比较不错的专业做网站安全的公司) PHP安全配置 1. 确保运行php的用户为一般用户，如www 2. php.ini参数设置 disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,phpinfo #禁用的函数 expose_php = off #避免暴露PHP信息 display_errors = off #关闭错误信息提示 register_globals = off #关闭全局变量 enable_dl = o...

2018-06-11

557

发表评论

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。