VPS推荐 - webshelll
https://www.vpstry.com/tag/webshelll
-
【WebShellQuickScanner】 一个扫描Linux服务器上的PHP WebShell的快查脚本,并能将报告推送至Telegram
https://www.vpstry.com/archives/555.html
2020-02-28T20:20:59+08:00
【WebShellQuickScanner】 一个在Linux上检查是否有PHP WebShell和使用了高危函数的PHP文件的快查脚本,同时能把扫描结果推送至Telegram。其实早在17年Typecho出了个洞被人日了插了一句话之后我就已经想写这东西了。鸽了两年之后这0day都已经成为114514day了我终于把这脚本给摸出来了。这篇文章将作为此脚本的简体中文说明文档。项目地址GitHub: https://github.com/DeepSkyFire/WebShellQuickScanner
关于脚本一个在Linux上快速检查目录下是否含有PHP WebShell和使用了高危函数的PHP文件的快速检查脚本。它可以在Linux下快速检查指定目录内的所有.php文件中是否使用了高危函数,但它并不会删除被检测出来的文件。所以需要自行决定如何处理这些被检查出来的文件。它并不能替代杀毒软件,请将它给出的报告作为参考。快速使用获取WebShellQuickScannerwget --no-check-certificate https://raw.githubusercontent.com/DeepSkyFire/WebShellQuickScanner/master/src/WebShellScanner.sh && chmod +x WebShellScanner.sh
开始快速扫描./WebShellScanner.sh -p /data/www-data(要扫描的目录)
详细说明使用依赖如果要使用将报告推送至Telegram的功能,需要系统内安装cURL。将报告推送至Telegram你需要先在Telegram中注册一个Bot。并获取你的Chat ID。关于主机名你可以自定义一个主机名。如果你不指定主机名的话,脚本将会自动读取系统默认的主机名。主机名的唯一作用是在将发送至Telegram的报告中作为服务器的标识便于识别。关于保存日志文件如果你想要在服务器本地保存日志文件,你可以使用以下设置:./WebShellScanner.sh -p /data/www-data -l /home/wwwwlogs
请注意!日志保存目录的结尾不要带“/”号。完整示例如果你想扫描“/data/www-data”的网站目录并将扫描日志保存至“/home/wwwlogs”,然后把扫描报告推送至Telegram并将主机名自定义为“MyServer1”,你可以使用以下设置:./WebShellScanner.sh -p /data/www-data -t TELEGRAM_BOT_TOKEN -c TELEGRAM_CHAT_ID -n MyServer1 -l /home/wwwwlogs
查看帮助信息./WebShellScanner.sh -h
定期扫描你可以使用crontab -e设置一个定期扫描任务。参数说明WebShellScanner.sh [-h] [-p <扫描目录>] [-t <TELEGRAM BOT TOKEN>] [-c <TELEGRAM CHAT ID>] [-n <自定义主机名>] [-l <日志保存目录>]
允许使用的命令行选项:-h 显示帮助信息. 可选参数.
-p <扫描目录> 要进行扫描的目录.
-t <TELEGRAM BOT TOKEN> Telegram Bot Token. 可选参数.
-c <TELEGRAM CHAT ID> Telegram Chat id. 可选参数.
-n <HostName> 自定义主机名. 可选参数.
-l <日志保存目录> 日志保存目录(日志保存目录的结尾不要带“/”号). 可选参数.
开源许可证本项目根据GPLv3(GNU General Public License v3.0)许可证进行发布。