针对PHP网马的正则查杀
1.代码内容查找、时间更改查找
多线程自定义查找php代码及日志情况,以及文件的修改时间
2.动态加载插件 tamper 文件下的插件 直接复用模块,手动自己添加正则就ok 了
能匹配一些常规、已知、熟知的webshell 代码块 simple.py 简单的匹配一句话和base64编码特征的webshell 正则这里参考一下 Seay 大大的正则 call_back_door.py 匹配一些调用回调函数的后门
array_map_door.py 匹配以array开头的这一类函数
encode_door.py 匹配编码、组合、混淆的后门
编写规则 1.文件名以tamper开头 2.调用颜色函数 from setColors.py import * 例如ga.red+字符串+ga.end结束 3.文集里包含Scan函数。具体看tamper_simple.py的样式
3.动态添加模糊哈希动态库 使用相似度很接近的MD5值,进行匹配。
4.实现文件备份与比对,扫描日志的保存
备份每一个文件的md5值,如果文件被修改或者写入webshell 文件或者上传的文件,都会被比对出来 思路:首先是记录每一个初始文件的md5值,保存为md5.log 之后如果md5.log存在,然后就创建一个md51.log 再然后比对这两个日志文件,有异同,说明文件被更改过,然后拿出异常的文件做内容上的比对、检查文件
另一个功能就是踩点监控,实时监控web网站目录文件,文件的增加,减少,改动都被监控下来,与之前文件相比对 5.分析 nginx apache 和waf.php 所抓取的web访问日志