实时精准侦测站点目录中的各类 webshell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#!/bin/bash
# author by klion
# 2017.12.25
# Delete webshell auto
webshell_log="/var/log/webshell.log"
upload_shell="/var/log/modify.tmp"
# 只要一检测到有新事件发生就立马打包上传检测
[ -s $webshell_log ] &&{
awk -F " " '{print $3}' $webshell_log |grep -E ".php$"| sort -u > $upload_shell
cat $upload_shell |xargs zip ./maybeshell.zip
echo `curl https://scanner.baidu.com/enqueue -F archive=@maybeshell.zip` | mail -s "webshell detect url api" klion@protonmail.com
sleep 5
> $webshell_log && > $upload_shell && rm -fr ./maybeshell.zip
}




后话:
    此脚本需要配合inotify一起使用,当然,你可以用别的目录监控工具,此处主要还是针对用户的上传目录进行监控,想实现的效果也很简单,只要有任何用户往指定目录中上传指定类型的脚本文件这里只截取了php,可以根据实际需求多加一些,就立马记录并打包丢给百度的webshell检测接口,顺便发信通知管理员去看查杀结果,觉得用来抓抓webshell还是蛮不错的,哼哼…毕竟基于shell,比较粗糙,有实际需求的话,大家不妨用py重写下 :)