`
love~ruby+rails
  • 浏览: 850335 次
  • 性别: Icon_minigender_1
  • 来自: lanzhou
社区版块
存档分类
最新评论

PHP webshell检查工具 python版

PHPPython正则表达式FPOS 
阅读更多
PHP webshell检查工具 python版

Web安全应急响应中,不免要检查下服务器上是否被上传了webshell,手工检查比较慢,就写了个脚本来检查了。Windows平台下已经有了lake2写的雷克图的了,一般的检查也够用了,写了个Linux下面的,用python写的。

      1.使用方法:find.py 目录名称

      2. 主要是采用python正则表达式来匹配的,可以在keywords中添加自己定义的正则,格式:

         ["eval\(\$\_POST","发现PHP一句话木马!"]  #前面为正则,后面为对这个正则的描述,会在日志中显示。

      3.修改下文件后缀和关键字的正则表达式就可以成为其他语言的webshell检查工具了,^_^。

      4.开发环境是windows xp+ActivePython 2.6.2.2,家里电脑没有Linux环境,懒得装虚拟机了,明天到公司Linux虚拟机测试下。

      5.目前只是一个框架,随后慢慢完善。

    

  1. #coding:gbk 
    2. 

  2. import os,sys 
    3. 

  3. import re 
    4. 

  4.  
    5. 

  5. findtype=['.php''.inc'#要检查的文件后缀类型 
    6. 

  6.  
    7. 

  7. #要检查的关键字正则表达式和日志中的描述,是一个二维数组。 
    8. 

  8. keywords=[ ["eval\(\$\_POST","发现PHP一句话木马!"],\ 
    9. 

  9.        ["(system|shell_exec|exec|popen)","发现PHP命令执行函数!"]\ 
    10. 

  10.      ]  
    11. 

  11.  
    12. 

  12. writelog = open('log.txt''w+'
    13. 

  13.  
    14. 

  14. def checkfile(filename): 
    15. 

  15.     fp=open(filename) 
    16. 

  16.     content = fp.read() 
    17. 

  17.     for keyword in keywords: 
    18. 

  18.         if re.search(keyword[0],content,re.I): 
    19. 

  19.             log="%s:%s" % (filename,keyword[1]) 
    20. 

  20.             #print log           
    21. 

  21.             print >>writelog,log 
    22. 

  22.     fp.close() 
    23. 

  23.              
    24. 

  24.  
    25. 

  25. def checkdir(dirname): 
    26. 

  26.     try
    27. 

  27.         ls=os.listdir(dirname) 
    28. 

  28.     except
    29. 

  29.         print 'access deny' 
    30. 

  30.     else
    31. 

  31.         for l in ls: 
    32. 

  32.             temp=os.path.join(dirname,l)         
    33. 

  33.             if(os.path.isdir(temp)): 
    34. 

  34.                 checkdir(temp) 
    35. 

  35.             else
    36. 

  36.         ext = temp[temp.rindex('.'):] 
    37. 

  37.         if ext in findtype: 
    38. 

  38.             checkfile(temp) 
    39. 

  39.              
    40. 

  40.  
    41. 

  41. if __name__=="__main__"
    42. 

  42.     print "PHP webshell check for Python!" 
    43. 

  43.     print "By:Neeao" 
    44. 

  44.     print "http://Neeao.com" 
    45. 

  45.     if len(sys.argv) < 2
    46. 

  46.         print "%s C:\\" % sys.argv[0]    
    47. 

  47.     else
    48. 

  48.         print "Check start!" 
    49. 

  49.         dirs=sys.argv[1:] 
    50. 

  50.         #print dirs[0] 
    51. 

  51.         if os.path.exists(dirs[0]): 
    52. 

  52.             checkdir(dirs[0]) 
    53. 

  53.         else
    54. 

  54.             print "Dir:'%s' not exists!" % dirs[0]   
    55. 

  55.          
    56. 

  56.         print "Check finsh!" 
    57. 

  57.  
    58. 

  58. writelog.close() 
    59.
分享到:
| 信息网络安全也会Google化吗?读Jeff Jarvi ...
评论
2 楼 cnkiller 2009-10-08  
<pre name="code" class="python">coding:gbk

import os,sys
<br> import re

 

findtype=['.php','.inc'] #要检查的文件后缀类型

 

#要检查的关键字正则表达式和日志中的描述,是一个二维数组。

keywords=[ ["eval\(\$\_POST","发现PHP一句话木马!"],\

        ["(system|shell_exec|exec|popen)","发现PHP命令执行函数!"]\

      ] 

 

writelog = open('log.txt', 'w+')

 

def checkfile(filename):

     fp=open(filename)

     content = fp.read()

     for keyword in keywords:

         if re.search(keyword[0],content,re.I):

             log="%s:%s" % (filename,keyword[1])

             print log          

             print &gt;&gt;writelog,log

     fp.close()

             

 

def checkdir(dirname):

     try:

         ls=os.listdir(dirname)

     except:

         print 'access deny'

     else:

         for l in ls:

             temp=os.path.join(dirname,l)        

             if(os.path.isdir(temp)):

                 checkdir(temp)

             else:

         ext = temp[temp.rindex('.'):]

         if ext in findtype:

             checkfile(temp)

             

 

if __name__=="__main__":

     print "PHP webshell check for Python!"

     print "By:Neeao"

     print "http://Neeao.com"

     if len(sys.argv) &lt; 2:

         print "%s C:\\" % sys.argv[0]   

     else:

         print "Check start!"

         dirs=sys.argv[1:]

         print dirs[0]

         if os.path.exists(dirs[0]):

             checkdir(dirs[0])

         else:

             print "Dir:'%s' not exists!" % dirs[0]  

         

         print "Check finsh!"

 

writelog.close() </pre>
<p> 我重新发布一下,好看些,望LZ见谅</p>
1 楼 ablmf 2009-09-30  
用pastebin.com贴代码会好看一点吧?
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    PHP webshell检查工具 python实现代码

    修改下文件后缀和关键字的正则表达式就可以成为其他语言的webshell检查工具了,^_^。 4.开发环境是windows xp+ActivePython 2.6.2.2,家里电脑没有Linux环境,懒得装虚拟机了,明天到公司Linux虚拟机测试下。 5.目前...

    一款基于python开发的webshell检测工具+源代码+文档说明

    findWebshell是一款基于python开发的webshell检查工具,可以通过配置脚本,方便得检测webshell后门。 ## 使用说明 Usage: main.py [options] Options: -h, --help show this help message and exit -p PATH, -...

    基于python开发的webshell检测工具

    基于python开发的webshell检查工具,可以通过配置脚本,方便得检测webshell后门。 字典添加 directory目录下的sensitiveWord.py定义的是后门中的敏感关键字,可以手动添加,格式为{"关键字":"类型"} ...

    第06篇:10款Webshell查杀工具1

    9. findWebshell:基于Python的Webshell检查工具,通过特征码匹配检查不同类型的Webshell后门,项目地址:https://github.com/he1m4n6a/findWebshell。 10. 在线Webshell查杀工具:提供一个在线平台进行Webshell...

    webshell提权教程

    2. 分类:常见的Webshell有PHP Webshell(如ChinaChop、C99)和ASP、JSP、Python等其他语言的Webshell。它们根据功能和复杂程度有不同的命名,如小马、大马、菜刀等。 3. 传播方式:Webshell主要通过SQL注入、文件...

    测试成功的log备份webshell代码

    【压缩包子文件的文件名称列表】:包含一个名为“测试成功的log备份webshell代码.txt”的文本文件,这很可能是实际的代码文件,里面详细记载了实现上述功能的编程语言代码,如PHP、Python或JavaScript等。...

    1个经典的过人 WebShell1

    4. **Python 示例**:提供的 Python 代码片段展示了如何生成这种类型的隐藏 WebShell。它接受三个参数:payload(即要编码的恶意命令)、filename(生成的 WebShell 文件名)和可选的 output_filename(隐藏的 ...

    linux系统webshell查杀.7z

    Webshell通常是一段脚本代码,可以是PHP、Python、Perl或其他服务器端语言编写,通过HTTP协议执行命令。它们可能隐藏在服务器上的各种位置,如网站根目录、用户上传文件夹或伪装成正常文件。常见的Webshell特征包括...

    民航竞赛-网站安全12.pdf

    5. **PHP全等于比较**:在PHP中,全等于运算符(===)会检查值和类型是否都相等。大写的"PHP"和小写的"php"虽然值相同,但类型不同,所以它们全等比较结果为不相等,即选项A(不相等)是正确的。 6. **Nginx空字节...

    fuckshell:简单的 Webshel​​l 扫描器

    总之,"fuckshell"是一个用Python编写的Webshell扫描工具,它的主要任务是帮助网络安全专业人员发现并清除服务器上的恶意Webshell,保障网站的安全运行。了解其工作原理和相关知识点对于提升网络防御能力至关重要。

    【实战篇】第14篇:CLTPHP_v5.5.3 前台任意文件上传漏洞1

    第一种是通过Python脚本模拟Ajax异步请求,将一个名为`1.php`的恶意文件伪装成JPEG图像上传,并成功获得服务器的WebShell。第二种方法是注册一个普通用户,然后在会员中心上传包含一句话木马的图片,通过抓包工具...

    FastAdmin_Upload:FastAdmin 前台文件上传RCE

    然而,如果存在漏洞,攻击者可以构造特殊文件,绕过这些检查,成功上传恶意脚本,例如PHP、ASPX等可执行的Webshell。 利用此漏洞,攻击者可以编写Python脚本来自动化攻击过程。例如,提供的"fastadmin.py"文件就是...

    WebShellSearch:搜索恶意Shell的工具包-开源

    WebShellSearch是一款基于Python的开源工具,专门设计用于搜索和识别可能存在的恶意、隐藏或可疑PHP脚本及Web外壳程序。在网络安全领域,WebShell常被黑客用来远程控制受害服务器,执行非法操作。因此,对于系统管理...

    Linux下渗透嗅探术

    5. **建立交互式shell**:使用Python的pty模块或通过WebShell的反弹功能,建立与本地的交互式连接。 #### 五、结论 Linux下的渗透嗅探术是网络安全专业人员不可或缺的技能之一。通过熟练运用各种工具和技术,安全...

    web shell

    Web Shell主要分为ASP、PHP、JSP、Python等不同编程语言的版本,对应于服务器上运行的不同脚本环境。一旦黑客通过SQL注入、文件包含漏洞、命令注入等攻击手段在服务器上成功执行了恶意代码,就会在服务器上留下一个...

    第30天:WEB漏洞-RCE代码及命令执行漏洞全解1

    3. **检测**:通过静态代码分析、动态运行时检测和漏洞扫描工具,可以发现潜在的代码执行风险。 4. **危害**:攻击者可以通过RCE漏洞执行任意命令,获取敏感信息,篡改数据,甚至完全控制服务器。 5. **修复**:最佳...

Magicbox
Global site tag (gtag.js) - Google Analytics