Web安全应急响应中,不免要检查下服务器上是否被上传了webshell,手工检查比较慢,就写了个脚本来检查了。Windows平台下已经有了lake2写的雷克图的了,一般的检查也够用了,写了个Linux下面的,用python写的。
1.使用方法:find.py 目录名称
2. 主要是采用python正则表达式来匹配的,可以在keywords中添加自己定义的正则,格式:
["eval\(\$\_POST","发现PHP一句话木马!"] #前面为正则,后面为对这个正则的描述,会在日志中显示。
3.修改下文件后缀和关键字的正则表达式就可以成为其他语言的webshell检查工具了,^_^。
4.开发环境是windows xp+ActivePython 2.6.2.2,家里电脑没有Linux环境,懒得装虚拟机了,明天到公司Linux虚拟机测试下。
5.目前只是一个框架,随后慢慢完善。
1. #coding:gbk
2. import os,sys
3. import re
4.
5. findtype=['.php','.inc'] #要检查的文件后缀类型
6.
7. #要检查的关键字正则表达式和日志中的描述,是一个二维数组。
8. keywords=[ ["eval\(\$\_POST","发现PHP一句话木马!"],\
9. ["(system|shell_exec|exec|popen)","发现PHP命令执行函数!"]\
10. ]
11.
12. writelog = open('log.txt', 'w+')
13.
14. def checkfile(filename):
15. fp=open(filename)
16. content = fp.read()
17. for keyword in keywords:
18. if re.search(keyword[0],content,re.I):
19. log="%s:%s" % (filename,keyword[1])
20. #print log
21. print >>writelog,log
22. fp.close()
23.
24.
25. def checkdir(dirname):
26. try:
27. ls=os.listdir(dirname)
28. except:
29. print 'access deny'
30. else:
31. for l in ls:
32. temp=os.path.join(dirname,l)
33. if(os.path.isdir(temp)):
34. checkdir(temp)
35. else:
36. ext = temp[temp.rindex('.'):]
37. if ext in findtype:
38. checkfile(temp)
39.
40.
41. if __name__=="__main__":
42. print "PHP webshell check for Python!"
43. print "By:Neeao"
44. print "http://Neeao.com"
45. if len(sys.argv) < 2:
46. print "%s C:\\" % sys.argv[0]
47. else:
48. print "Check start!"
49. dirs=sys.argv[1:]
50. #print dirs[0]
51. if os.path.exists(dirs[0]):
52. checkdir(dirs[0])
53. else:
54. print "Dir:'%s' not exists!" % dirs[0]
55.
56. print "Check finsh!"
57.
writelog.close()
共同学习,写下你的评论
评论加载中...
作者其他优质文章
