用搜索神器Everything定位Webshell木马后门 (搜索神器搜索)

Everything是速度最快的文件名搜索软件。其速度之快令人震惊，百G硬盘几十万个文件，可以在几秒钟之内完成索引;文件名搜索瞬间呈现结果。它小巧免费，支持中文，支持正则表达式，可以通过HTTP或FTP分享搜索结果。

Everything搜索工具的最大优点是速度。其速度不是快，是极快;用户不是满意，而是震惊。

因为Everything的索引无需逐一扫描硬盘文件，而是直接读取NTFS文件系统的USN日志。所以速度已经快到令人震惊，甚至是愤怒了：凭什么可以这么快!

“善用佳软”上有Everything的详细介绍：

—–分割线—–

小菜最近闲着无事，搭建了一个blog，但因为是第一次，比较紧张，害怕被黑客入侵，所以狂补安全方面的知识，但无奈自身水平不够，而且在了解了一些安全知识之后认为如果网站被盯上了，被入侵是迟早的是，所以，我只好做被入侵之后的打算了：尽可能的查找被嵌入的webshell……

然后最近也在总结一些软件的使用经验，刚好到了Everything这款搜索神器，学着学着就想试试用Everything来辅助webshell的查找，也就有了下面的内容(这里查找的思路是通过文件的修改时间来进行判断的，因为对于一个相对稳定的网站来说，网页代码不会经常性的发生变化，所以可以通过文件的修改时间进行辅助判断)：

其中的date的语法格式和一些常量如下：

date格式:

month/year or year/month depending on locale settings
day/month/year, month/day/year or year/month/day depending on locale settings

一些date的常量:

todayyesterdaytomorrowjanuary|february|mArch|april|may|june|july|august|september|october|november|decemberjan|feb|mar|apr|may|jun|jul|aug|sep|oct|nov|decsunday|monday|tuesday|wednesday|thursday|friday|saturdaysun|mon|tue|wed|thu|fri|satunknown

实际使用举例如下：

C:\Users\userName\Desktop datecreated:yesterday #查找桌面上昨天修改过的文件or文件夹C:\Users\userName\Desktop datemodified:today #查找桌面上今天修改过的文件or文件夹C:\Users\userName\Desktop datemodified:2014/6/15 #查找桌面上在2014/6/15这天修改过的文件or文件夹{2014/6/15这个格式和你本地的设定有关，你可以打开Everything看"Date Modified"那一列的显示格式}C:\Users\userName\Desktop datemodified:lastweek #查找桌面上上个星期修改过的文件or文件夹C:\Users\userName\Desktop datemodified:january #查找桌面上在一月份修改过的文件or文件夹

提示：最好指定一个路径来进行搜索(例如在进行webshell检测时，指定网站目录)，否则速度很慢{当然了，这与个人电脑配置有关，在我的瓜机上面很慢就是了}

2.通过文件大小

使用语法介绍：

size:Search For files with the specified size in bytes.Size Syntax:size[kb|mb|gb]Size Constants:emptytiny0 KB < size <= 10 KBsmall10 KB < size <= 100 KBmedium100 KB < size <= 1 MBlarge1 MB < size <= 16 MBhuge16 MB < size <= 128 MBgiganticsize > 128 MBunknown

实际举例如下：

一般的webshell文件也不大{当然了，区分大小马}，所以可以试试查找大于0KB小于10KB的文件(size:tiny)

查找文件大小小于50KB的文件方法(size:<=50kb)

当然也可以通过查找PHP文件，然后再按文件大小排序的方式来进行。

3.简洁实用的手动方式

C:\Apache\htdocs *.php#显示了结果之后，再按照文件修改时间/大小/文件名排序，快速而且直接C:\Apache\htdocs *.php | *.jpg

一般是通过指定搜索路径的方式来加快速度，可以通过多种方式的结合来达到自己的目的，这个需要根据自己的情况来定，这里就不细说了。

上面提供的只是一种思路，在Windows上也可以通过批处理脚本或PHP/Python脚本编写功能更强大的webshell查找工具，不过就效率，速度和直观性而言，Everything这款工具确实还是非常值得推荐的!Everything还有很多的功能值得我们去发现、去挖掘，多组合、多尝试就可以找到适合自己的方法，祝好运!

编程高手也可以自行编写脚本调用Everything的命令行来进行周期性的扫描、报告，如果写好了能给大家分享一下那就更好了(_)/~~

在Linux上因为原生集成了很多命令行工具，速度也是非常快，所以也不用其他多余的工具了，写个shell脚本，然后放在crontab中周期性运行并把结果发送给自己，效果还是很不错的。

—–下面是从网上搜集的一些使用find/xargs/grep的命令组合查找webshell的方法—–

查找”/path/to/webroot”目录里面在10天内进行过修改的php文件(可根据需要进行微调)：

find /path/to/webroot -name "*.php" -mtime -10

如果文件更新时间不确定，我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字，我这里列出一些常用的，其他的大家可以从网收集一些webshell，总结自己的关键字，括号里面我总结的一些关键字(eval,shell_exec,passthru,popen,system)查找方法如下：

find /path/to/webroot -name "*.php" |xargs grep "eval" |lessfind /path/to/webroot -name "*.php" |xargs grep "shell_exec" |lessfind /path/to/webroot -name "*.php" |xargs grep "passthru" |less

当然你还可以导出到文件，下载下来慢慢分析：

find /home -name "*.php"|xargs grep "fsockopen"|tee webshell_scan.log

这里我就不一一罗列了，如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell，这个需要自己做一下判断，判断的方法也简单，直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下，看得多了，基本上一眼就可以判断是不是webshell文件。

最后来点猛料：

在查找webshell的时候，集中注意力是非常必要的，可如果你昨天看了些小电影而导致精力不足无法集中精神排查的话可是非常要命的，所以，你需要：

打开Everything，在搜索框中输入: *.rm | *.rmvb |*.avi | *.wmv | *.mkv | *.mpeg | *.3gp，按大小排序，选择非系统视频文件，深呼吸，闭眼，手不要抖，按住Shift+Del键(是的，shift+del，剥夺它们进回收站的权利)，睁眼，露出灿烂的笑容，生活原来如此美好~~

三国群侠传的后门病毒怎么回事？

上面说的对 一般后门病毒是远程监控IRC病毒集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播。 病毒自带有简单的口令字典，用户如不设置密码或密码过于简单都会使系统易受病毒影响。 病毒运行后将自己拷贝到系统目录下(Win 2K/NT/XP操作系统为系统盘的system32，win9x为系统盘的system)，文件属性隐藏，名称不定，这里假设为xxx.，一般都没有图标。 病毒同时写注册表启动项，项名不定，假设为yyy。 病毒不同，写的启动项也不太一样，但肯定都包含这一项：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\yyy : xxx.其他可能写的项有：HKEY_CURRENT_\Software\Microsoft\Windows\CurrentVersion\Run\ yyy : _LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\ yyy : xxx.也有少数会写下面两项：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\yyy : _CURRENT_\Software\Microsoft\Windows\CurrentVersion\RunOnce\yyy : xxx.此外，一些IRC病毒在2K/NT/XP下还会将自己注册为服务启动。 病毒每隔一定时间会自动尝试连接特定的IRC服务器频道，为黑客控制做好准备。 黑客只需在聊天室中发送不同的操作指令，病毒就会在本地执行不同的操作，并将本地系统的返回信息发回聊天室，从而造成用户信息的泄漏。 这种后门控制机制是比较新颖的，即时用户觉察到了损失，想要追查黑客也是非常困难。 病毒会扫描当前和相邻网段内的机器并猜测登陆密码。 这个过程会占用大量网络带宽资源，容易造成局域网阻塞，国内不少企业用户的业务均因此遭受影响。 出于保护被IRC病毒控制的计算机的目的，一些IRC病毒会取消匿名登陆功能和DCOM功能。 取消匿名登陆可阻止其他病毒猜解密码感染自己，而禁用DCOM功能可使系统免受利用RPC漏洞传播的其他病毒影响。 手工清除方法所有的IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加自己的启动项，并且项值只有文件名，不带路径，这给了我们提供了追查的线索。 通过下面几步我们可以安全的清除掉IRC病毒。 1、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项，找出可疑文件的项目。 2、打开任务管理器(按Alt+ctrl+或在任务栏单击鼠标右键，选择“任务管理器”)，找到并结束与注册表文件项相对应的进程。 若进程不能结束，则可以切换到安全模式进行操作。 进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。 3、接着打开“我的电脑”，在“工具”菜单下选择“文件夹选项”，选择“显示所有文件”，然后点击“确定”。 再进入系统文件夹，找出可疑文件并将它转移或删除，到这一步病毒就算清除了。 4、最后可手工把注册表里病毒的启动项清除，也可使用瑞星注册表修复工具清除。

后门木马是什么意思

后门木马简单点说就是隐蔽性很高的木马。 比如灰鸽子。 后门木马就是一种由原作者在编写的木马设置了一个后门程序，比如按6下shift就弹出权限设置，这种快捷键一般只有原作者才知道的，然后原作者把这种木马卖出，比如你买了他的木马并且使用，你不知道快捷键密码，所以最高权限不在你这，而在他那儿~这样你利用木马盗号的过程中原作者就会知道，也就是说原作者可能利用你盗号，你所盗的号你知道，原作者也会知道。 如果你的电脑中了后门木马病毒,你可以这样,先下载360系统急救箱保存到D盘,重启按F8进入带网络连接的安全模式,使用360系统急救箱进行查杀 这样就查杀的比较彻底了,然后启动360杀毒 360安全卫士的木马云查杀功能查杀清除残留就可以了.

恶意软件是怎么进入电脑的/

是木马，后门木马，通过他 可以控制你的电脑进入电脑的方法很多了，系统漏洞可以，恶意网页可以，恶意软件也可以。可以找到这个文件，查看日期 就是他 入住的时间我的电脑－》属性－》管理－》事件查看器可以找找 哪些 IP 的哪些操作可以不过一般不用太在意这类木马到达客户端，就是你的电脑的时间应该比较长了，使用这个木马的服务端，就是hack 已经不用这个了我个人的经验，这样的东西我也做过的病毒是否存在不是你能感觉出来的 ：）有些是让系统变慢 崩溃 或者一些程序错误 系统错误 无法运行但是有些 只是为了给你开后门 没事玩，或者试试手，或者监控你的电脑 ：）