#!/bin/bash
#scan webshell shell
dire=/data// # web path
exname=.php # .php; .jsp; .php3
key=eval # system; exec; base64_decode
page=$(find PATH -name "*.php" -type f ) #这样效率会更高,修改用find
#page=$(du -a $dire|awk '{print $2}'|grep $exname)
for i in $page
do
test=$(cat $i |grep -i $key)
if [ ! -z "$test" ]
then
echo $i >> tmp #
fi
done
网站被黑后,如果网站动态页面,很难一一搜索,通过搜索webshell 里面常用的关键词,来节省一段时间。
实现方法很简单,思路就是这样。
遍历整个目录下的文件,搜索特出关键词(webshell里面的敏感关键词),然后重定向到一个文件。在检查这些文件,就快的多了。