查找Centos Linux服务器上入侵者的WebShell后门

对于服务器遭遇黑客入侵并上传webshell的朋友来说，经历这场危机无疑是严峻的考验。恢复与保障服务器安全的道路并非无从下手。今天，我将以PHP环境为例，分享几个排查和识别webshell的小技巧，希望能为大家提供指引和帮助。

我们要明确思路。一旦服务器上被上传了webshell，必定会在服务器留下痕迹。我们可以从PHP文件的时间入手查找线索。假设最后一次网站代码更新是10天前，我们可以通过查找这10天内生成的所有PHP文件来寻找蛛丝马迹。命令如下：

在网站根目录/var/webroot中，使用命令`find /var/webroot -name “.php” -mtime -10`来查找所有在最近10天内修改过的PHP文件。

如果文件更新时间不确定，我们可以通过关键字搜索来确定。要准确查找，需要熟悉webshell常用的关键字。这些关键字包括但不限于（eval，shell_exec，passthru，popen，system）。以下是如何使用这些关键字进行搜索的示例：

`find /var/webroot -name “.php” | xargs grep “eval” | more`

`find /var/webroot -name “.php” | xargs grep “shell_exec” | more`

`find /var/webroot -name “.php” | xargs grep “passthru” | more`

你也可以将搜索结果导出到文件，下载下来慢慢分析：

`find /home -name “.php”| xargs grep “fsockopen”| more > test.log`

这里就不再一一列举所有的关键字搜索命令了。如果有自己的关键字总结，直接替换即可。但需要注意的是，并不是所有找出的文件都是webshell。需要进行判断，方法很简单，可以直接通过浏览器访问这个文件或者和自己找的一些webshell进行比较。经验多了，自然一眼就能判断是否是webshell文件。

在这个过程中，不仅需要技术手段来查找和识别webshell，更需要保持冷静的头脑和坚定的决心。只有深入理解服务器的工作原理和PHP语言的特性，才能更好地应对这种入侵事件。希望这些小技巧能对大家在应对服务器入侵时有所帮助。在这场与黑客的较量中，愿我们都能成为胜利者。