先给出地址:https://github.com/wofeiwo/webshell-find-tools

Author: wofeiwo#80sec.com

这是我2010年初写的小脚本,主要是为了方便快速的通过文件行为特征,而不是特征内容字符,去查找webshell。

总共两个脚本:

ala.py (Access Log Analyzer)

这个脚本的思路是:分析Accesslog文件,然后按照访问次数、存在性排序所有请求的路径。去除所有静态文件。如果是个访问量较大的网站,通常访问最少的几个文件就是Webshell。

fca.py (File Ctime Analyzer)

这个脚本的思路是:将文件系统中的文件按照改动时间区段分组。一般情况下,web目录下的文件创建时间是集中的。如果某些文件创建时间比较不合群,那么这个文件是webshell的可能性就很大。

详细信息请直接点击顶上的链接吧。README里都有。

如果大家有更好的想法,欢迎github上pull给我你们的代码。我会整合到这个项目中。

Enjoy it

摘自:http://zone.wooyun.org/content/2857

相关内容:

大家总结下如何检测webshell

常见 Webshell 的检测方法及检测绕过思路

网站中的 WebShell 静态、动态特征检测思路浅谈

留言评论(旧系统):

佚名 @ 2013-03-09 17:24:13

嗯,学习了。也就是说如果是插文件的shell,再把修改时间改回来,那两脚本就无力了吧

本站回复:

嗯,这只是两个检查简单的思路,按你这么做的话,ala.py (Access Log Analyzer) 依然有可能检测的出来。