Linux查找疑似被挂木马文件方法以及Nginx根据不同IP做不同反向代理

最新推荐文章于 2024-03-15 19:10:14 发布
转载 最新推荐文章于 2024-03-15 19:10:14 发布 · 396 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/nssdeblog/p/8474727.html
文章标签:

#运维 #操作系统

本文介绍如何通过特定命令查找被挂载的木马文件,并解析其工作原理。此外,还提供了使用Nginx进行反向代理的具体配置示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、先说被挂马的文件吧。

木马文件一般会伪装成正常文件,或者非可执行文件,以达到欺骗的目的。

比方说,伪装成icon图标文件。

找到一个伪装的文件,用编辑器打开,就会发现里面是源码。

这种的工作原理大概是,在某一个正常的文件中用include引入这个图标文件,

然后,文件中的代码就被不知不觉的跟随正常的应用文件执行了。

同时,为了达到隐藏的目的,include的代码也不是显式的写的。

例如:@include "\x2fh\x6fm\x65/\x77w\x77r\x6fo\x74/\x64e\x66a\x75l\x74/\x77p

这里有一点要注意,\xdd这样的写法,其中dd是16进制数,用这样的元字符来代替

相应的字母,以达到隐式拼接路径的目的。

下面说怎么查找:

我用的命令是:

grep --color -i -r -n "@include"  /home/

其他方法可查看这个链接

这样就可以在指定位置,比如“/home/”目录里查看所有包含“@include”的文件

然后用文本编辑器打开疑似木马文件的那个文件,看是否是代码。

如果是,找出其代表性的字符。比如,define的常量。

接下来就用类似上面的步骤,查找出具有相同特征的文件就行了。

二、用Nginx做反向代理

先上代码:

location / 
{
    proxy_redirect     off;
    proxy_set_header   Host             $host;
    proxy_set_header   X-Real-IP        $remote_addr;
    proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
    if ($remote_addr ~* 255.255.255.0){
        proxy_pass  http://127.0.0.1:8080;
        break;
    }
    proxy_pass  https://www.baidu.com;
}

其中如果是255.255.255.0这个IP来访问,则跳转到本地8080端口

前提是要打开并监听这个端口

如果不是,则跳转到百度

这里有一点要注意,if条件里面,如果包含路径,要用$request_uri来代替。

同时,如果if中不使用proxy_pass则不会执行if里面的配置。

也附上链接地址

转载于:https://www.cnblogs.com/nssdeblog/p/8474727.html

网络安全事件应急响应实战二
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
Linux系统病毒木马排查清除方法
yeyiboy的博客
05-04 3569
Linux: 1.检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) 注:此时last命令也有可能变得不可靠,需要检查 --------------------- 2.检查系统用户 查看是否有异常的系统用户 [root@yeyiboy-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [root@yeyiboy-IDC ~]# grep “0” /etc/passwd 查看p.
metasploit学习——frp反向代理、内网穿透、木马
sinat_39665351的博客
07-22 1847
环境准备 ①申请云服务器(获取公网IP) ②公网服务器与内网服务器同时下载frp进行安装解压后主要关注4个文件,分别是frpc、frpc.ini和frps、frps.ini,前者两个文件(frpc、frpc.ini)是客户端(client)所关注文件,后者两个文件(frps、frps.ini)是服务端(server)所关注两个文件环境配置(frp反向代理、内网穿透) 云主机: #安装frp wge...
查出Linux下网站哪些文件挂马的办法
寻找甘当科学家的女人/男人
02-10 3948
转自:http://www.iamle.com/archives/1557.html 2014-03-24 BY WWEK php后门木马常用的函数大致上可分为四种类型: 1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open 2. 代码执行与加密: eval, assert, call_user_fun
linux挂马检测,检测网站挂马程序(Python)
weixin_42466518的博客
05-13 354
系统管理员通常从svn/git中检索代码,部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员第一时间发现,可结合crontab或nagios等工具。程序测试如下:# python check_change.pyUsage: python check_change.py update /hom...
nginx层阻断可执行的php,防止php网站被挂马
aixh1985的博客
01-10 2729
nginx层阻断可执行的php,防止php网站被挂马
Nginx 了怎么办?怎么实现高可用?
m0_69526086的博客
04-27 497
systemctl start nginx; #启动Nginx systemctl stop nginx; #停止Nginx 安装keepalived yum方式直接安装即可,该方式会自动安装依赖: yum -y install keepalived 修改主机(192.168.16.128)keepalived配置文件 yum方式安装的会生产配置文件在/etc/keepalived下: vi keepalived.conf keepalived.conf: #检测脚本 vrrp_script chk_htt
大数据安全和网络安全基础知识
qq_41821067的博客
02-08 5016
不要把自己的努力看的太重,毕竟大家都在努力 这里写目录标题商业扫描器命令执行一句话木马超全局变量用post方法去接收pw变量SQL注入分为显注和盲注git安装git与github查看隐藏的目录和文件夹三款系统扫描器openavsnessusnexpose登录界面用BUrp抓登录页面包登录界面防御引申;报错信息不要过于详细csrf及其总结安全工具篇arp欺骗:address resolution protocolARP协议的原理过程ARP缓存表ARP欺骗kali中有关ARP欺骗的工具ettercaparpsp
04 渗透测试基础
热门推荐
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
Nginx木马解决方法
weixin_34152820的博客
11-15 1372
今天偶然看到网上一篇处理Nginx网站中木马的解决方法,觉得还可以,于是转载下来作为将来不备之需。 导读: 服务器突然负载比平常高出了50%,经过长时间分析发现原来是黑客利用nginx的一个漏洞,通过图片上传了含有代码的图片,然后调用图片使用post传入代码,生成一个含有推广链接代码的php可执行文件,代码在调用时需要多次解密,因此直接导致负载升高...
网站被挂马处理
爱生活
09-30 633
运用360扫描只能解决表面层面的问题,根本无法找出木马所在文件 既然是web木马就会留下访问的足迹 1.通过命令查询nginx的访问日志,因为涉及到上传文件,所以一定是通过POST方式来上传,那我们就查最近有哪些文件是POST访问的    cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' |
php网站被木马后的修复方法总结
12-19
本文实例总结了php网站被木马后的修复方法。分享给大家供大家参考。具体方法如下: 在linux中我们可以使用命令来搜查木马文件,到代码安装目录执行下面命令 复制代码 代码如下:find ./ -iname “*.php” | xargs grep -H -n “eval(base64_decode” 搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉 最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码 如果你在windows中查找目录直接使用windows文件搜索就可以了,可以搜索e
Windows中针对木马IP安全策略
08-03 1111
木马”一个让用户头疼的字眼,它们悄然无声的进入我们的系统,叫人防不胜防。当木马悄悄打开某扇“方便之门”(端口)时,不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心,首先我们要切断它们与外界的联系(就是堵住可疑端口)。  在Win2000/XP/2003系统中,Microsoft管理控制台(MMC)已将系统的配置功能汇集成配置模块,大大方便我们进行特殊的设置(以Telnet
一次利用nginx漏洞的木马事件
weixin_33984032的博客
11-05 260
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux服务器mysql,nginx等自动停止的排查,以及解决方法
wangchaoqi1985的博客
07-10 1162
Linux服务器mysql,nginx等自动停止的排查,以及解决方法
【备忘】记录一次网站被黑,被木马,访问首页跳转博彩网站经历
qq_15941409的博客
04-08 871
现象: 早上一上班,接到通知说网站打不开了,运维妹纸说让我处理一下,一脸懵逼的我开始慢慢和她交流,然后理出她的问题。 具体问题是说网站ip被冻结了,这是妹纸提了工单,华为云安全工程师告知的结果,说是网站被黑木马。 这位老师傅态度很好,点个赞。 现在知道问题和现象了,还是有点懵逼的我要来账号密码开始处理,但是登陆不了,冻结了嘛,只能通过华为云控制台进入操作。 so.解决步骤: 查看Nginx配置文件nginx.conf 找到网站虚拟机配置文件 把网站绑定的域名随便修改一个,相当于对应域
LNMP被挂马自己动手解决
xingdavis的专栏
09-06 1997
这几天正忙项目事情,服务器上线了产品还没上线,老收到客户端投诉服务器连不上了,一开始以为php-fpm 了,可也没那么儿戏吧,才那么几个人在用,时间确实比较紧张也没时间考虑了,直接service xxx restart ,好像可以了....可再没多久又收到投诉,这时心想一定出大问题了,网络?木马?马上浏览其他网站,也没问题,网络可以排除了。 接下来扫马去...,用top查看了一下一个鬼东西在耗
网站被挂马劫持的解决办法
最新发布
2301_77019676的博客
03-15 652
首先,应该检查网站的DNS记录,以确定是否有人修改了DNS记录。如果发现有人修改了DNS记录,应该立即更改DNS记录,以恢复网站的正常访问。此外,应该检查网站的源代码,以确定是否有人植入了恶意代码。如果发现有恶意代码,应该立即删除恶意代码,以恢复网站的正常访问。最后,应该采取有效的安全措施,以防止未来的网站劫持。\n此外,应该定期备份网站的数据,以便在发生灾难性故障时可以快速恢复网站。此外,应该安装防火墙,以防止攻击者进行攻击。最后,应该定期扫描网站,以确保网站的安全性。
LinuxNginx反向代理及负载均衡配置教程
- **Nginx配置**:熟悉Nginx的配置文件结构,掌握如何配置反向代理以及负载均衡。 - **Nginx与依赖关系**:了解Nginx的编译依赖,包括pcre、openssl、zlib库,能够正确地管理和安装这些依赖包。 - **实际应用**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值