安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WooYun > WooYun-Zone > 首发版本,Xshellscan1.0版本-专注于脚本木马查杀

首发版本,Xshellscan1.0版本-专注于脚本木马查杀

时间:2017-09-07来源: 作者:点击:
网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地
jusker (http://www.jusker.com) | 2014-11-30 17:00

让吹过的NB实现
感谢那些帮助过我的人,感谢@园长
牵着@sky,@z7y飘过,顺带@saline
1.本程序通过进程与多线程实现木马查杀,速度很快
2.采用IO纯静态正则匹配进行webshell查杀,以及关键字
3.实现递归一个payload一个线程,如果写正则的话直接copy,然后填充正则即可
4.实现开放源代码,本脚本适合跨平台使用,支持扩展payload
6.采用python2.73编写
5.已经支持asp简单查杀,php木马查杀,jsp木马查杀
7.使用方法:python system.py  /var/www
8.误杀很正常,配合手工分析
9.采用python面对对象方式编程,代码编写美观,遵守pep8
对未来的展望,在shellscan2.0中实现更多的webshell查杀,精确 //安云网咨询系统
下载地址:https://github.com/jusker/Xshellscan
111x.png
111xx.png
222.png
xxx.png //本文来自安云网

分享到:
  1. 1#
    回复此人 感谢
    普通绿帽子 | 2014-11-30 17:03

    赞~!

    //安云网咨询系统

  2. 2#
    回复此人 感谢
    Sura、Rain | 2014-11-30 17:06

    好东西,虽然我不懂python

    //ANYUN.ORG

  3. 3#
    回复此人 感谢
    Jumbo (www.chinabaiker.com) | 2014-11-30 17:11

    来个传上去就能用的呗

    //安云网,anyun.org

  4. 4#
    回复此人 感谢
    _Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-11-30 17:21

    好东西,虽然我不懂python //内容来自AnYun.ORG

  5. 5#
    回复此人 感谢
    whale | 2014-11-30 17:26

    python版本是多少?

    //内容来自AnYun.ORG

  6. 6#
    回复此人 感谢
    answer | 2014-11-30 17:34

    //安云网咨询系统

  7. 7#
    回复此人 感谢
    RedFree (‮11:11 11-11-1112 |※(器杀制自) | 2014-11-30 17:37

    应该使用SQLite入库记录,再用Qt设计师画一个漂亮的GUI。一行一行的记录看着跟Web服务器日志一样,用户体验太差。

    //本文来自安云网

  8. 8#
    回复此人 感谢
    小 葛 (http://sechome.cn/) | 2014-11-30 19:22

    @RedFree shell窗口怎么用gui? 搞个vps还要装个桌面么....... //copyright AnYun.ORG

  9. 9#
    回复此人 感谢
    寂寞的瘦子 (整天嘻嘻哈哈。) | 2014-11-30 19:33

    让jusker装过的逼成为现实,我擦?

    //ANYUN.ORG

  10. 10#
    回复此人 感谢
    sky (啪啪啪啪脸好疼是不是?) | 2014-11-30 19:48

    为啥不感谢我,小子~ //安云网,anyun.org

  11. 11#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-11-30 19:51

    @sky 请看

    //内容来自安云网

  12. 12#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-11-30 19:51

    @寂寞的瘦子 - - //copyright AnYun.ORG

  13. 13#
    回复此人 感谢
    sky (啪啪啪啪脸好疼是不是?) | 2014-11-30 19:54

    @jusker WB没到帐啊~我操,你坑我。 //ANYUN.ORG

  14. 14#
    回复此人 感谢
    sky (啪啪啪啪脸好疼是不是?) | 2014-11-30 19:54

    @ 小 葛 他装的是linux系统, //本文来自安云网

  15. 15#
    回复此人 感谢
    静默 | 2014-11-30 20:39

    屌爆了

    //内容来自AnYun.ORG

  16. 16#
    回复此人 感谢
    抓根宝 (直到我膝盖中了一箭!!!) | 2014-11-30 20:44

    这正则误杀率略吊

    //copyright AnYun.ORG

  17. 17#
    回复此人 感谢
    寂寞的瘦子 (整天嘻嘻哈哈。) | 2014-11-30 20:47

    @jusker 说好的原生debian呢,你妹的尽然是kali

    //安云网,anyun.org

  18. 18#
    回复此人 感谢
    zzzzy (我已然别无所求) | 2014-11-30 22:50

    求此桌面图 //ANYUN.ORG

  19. 19#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-11-30 23:27

    @寂寞的瘦子 - -... 额。。。kali工具多

    //copyright AnYun.ORG

  20. 20#
    回复此人 感谢
    xiaoL (http://www.xlixli.net) | 2014-12-01 10:55

    @jusker script下的代码复用是不是有点问题 //内容来自AnYun.ORG
    每个脚本都是正则跟标题不一样
    写成变量加载会不会更好

    //copyright AnYun.ORG

  21. 21#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-01 11:14

    @xiaoL 下次更新 //内容来自AnYun.ORG

  22. 22#
    回复此人 感谢
    寂寞的瘦子 (整天嘻嘻哈哈。) | 2014-12-01 11:46

    @xiaoL 你这厮又想强行装逼(~o~)Y

    //ANYUN.ORG

  23. 23#
    回复此人 感谢
    园长 (喵~) | 2014-12-01 12:10

    配置文件的方式动态加载正则表达式

    //内容来自AnYun.ORG

  24. 24#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-01 12:14

    @园长 - - ....

    //内容来自AnYun.ORG

  25. 25#
    回复此人 感谢
    saber (终极屌丝之路~) | 2014-12-01 12:22

    金山某沙龙见过大牛你了。。

    //本文来自安云网

  26. 26#
    回复此人 感谢
    winsyk (W) | 2014-12-01 13:04

    我擦,这个是咋和我写的那么像。。。

    //本文来自安云网

  27. 27#
    回复此人 感谢
    xiaoL (http://www.xlixli.net) | 2014-12-01 14:48

    @寂寞的瘦子 又被你发现了

    //copyright AnYun.ORG


    好惭愧啊

    //内容来自AnYun.ORG

  28. 28#
    回复此人 感谢
    xsjswt | 2014-12-01 15:15

    这东西主要是看特征库 //安云网咨询系统

  29. 29#
    回复此人 感谢
    asdf (import pdb;pdb.set_trace(); name="signature" type="text" maxlength="25") | 2014-12-01 16:14

    @xsjswt 这东西主要是看特征库

    //安云网,anyun.org

  30. 30#
    回复此人 感谢
    动后河 (☭) | 2014-12-01 18:45

    “遵守pep8 ”

    //内容来自AnYun.ORG

    小哥这句话也太夸张了吧...你遵守那规范干嘛特别骄傲地说出来,那规范死板的地方很多
    //本文来自安云网

  31. 31#
    回复此人 感谢
    RainShine (I'm your angel of music.) | 2014-12-01 18:54

    Asp特征库我看看能不能多找几个特征吧…… //安云网,anyun.org

  32. 32#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-01 21:26

    @RainShine   OK 3Q

    //copyright AnYun.ORG

  33. 33#
    回复此人 感谢
    zzzzz | 2014-12-02 03:07

    不是PHP你说个p.

    //ANYUN.ORG

  34. 34#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-02 07:06

    @zzzzz 你废话真多

    //安云网,anyun.org

  35. 35#
    回复此人 感谢
    MuZhU0 | 2014-12-02 07:14

    遵守pep8 //安云网咨询系统

  36. 36#
    回复此人 感谢
    big、face | 2014-12-02 08:16

    学习学习.

    //内容来自安云网

  37. 37#
    回复此人 感谢
    泳少 (此号被射!by U神) | 2014-12-02 08:30

    感觉这个PY脚本不错!

    //copyright AnYun.ORG

  38. 38#
    回复此人 感谢
    fresh | 2014-12-02 09:06

    学习学习了 赞

    //安云网咨询系统

  39. 39#
    回复此人 感谢
    Stanley | 2014-12-03 17:28

    后排围观琦神!学起来 //内容来自安云网

  40. 40#
    回复此人 感谢
    xsjswt | 2014-12-03 17:40

    php是世界上最好的语言 //ANYUN.ORG

  41. 41#
    回复此人 感谢
    ztaosony | 2014-12-03 19:39

    php搞的飞起 //内容来自AnYun.ORG

  42. 42#
    回复此人 感谢
    RainShine (I'm your angel of music.) | 2014-12-03 19:53

    @jusker 对了,关于Asp特征码,是像360一样宁可错杀1000不放过1还是谨慎一点?……

    //内容来自AnYun.ORG

  43. 43#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-04 11:27

    @RainShine   你可以发一篇asp webshell的文章 //ANYUN.ORG

  44. 44#
    回复此人 感谢
    Manning (MSpider作者) | 2014-12-04 11:39

    改改就能只查哈哈 //ANYUN.ORG

  45. 45#
    回复此人 感谢
    RainShine (I'm your angel of music.) | 2014-12-04 12:55

    @jusker OK.尽我所能吧。关于Webshell的什么呢?分析?免杀?还是什么呢~

    //ANYUN.ORG

  46. 46#
    回复此人 感谢
    greg.wu | 2014-12-04 17:30

    不错,lz牛逼

    //本文来自安云网

  47. 47#
    回复此人 感谢
    金枪银矛小霸王 (勿忘初心:)) | 2014-12-06 23:00

    误报率大概有多大呢

    //安云网咨询系统

  48. 48#
    回复此人 感谢
    流星warden (尘归尘,土归土,让往生者安宁,让在世者重获解脱。) | 2014-12-06 23:15

    弱弱的给一个建议,界面可以弄的好看一点的 //本文来自安云网

  49. 49#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-07 00:19

    @流星warden 恩在shellscan2.0里面改善,但是还是cli的模式,不喜欢用qt或者wxpython

    //copyright AnYun.ORG

  50. 50#
    回复此人 感谢
    流星warden (尘归尘,土归土,让往生者安宁,让在世者重获解脱。) | 2014-12-07 01:32

    @jusker 参考metasploit  开场可以来一个小牛。小样之类的   很简单的 。。。。 //ANYUN.ORG

  51. 51#
    回复此人 感谢
    邓先生 (我的妹子有世界上最美丽的笑容) | 2014-12-08 13:11

    看样子不错

    //安云网咨询系统

  52. 52#
    回复此人 感谢
    Sunshine (0123456789) | 2014-12-08 13:25

    o(╯□╰)o刚看我还以为是红帽或者centos,,,居然是装了xfce的kali //本文来自安云网

  53. 53#
    回复此人 感谢
    D&G | 2014-12-08 13:38

    过期了。。。 //内容来自AnYun.ORG

  54. 54#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-08 13:40

    @D&G 已更新,换成github了

    //copyright AnYun.ORG

  55. 55#
    回复此人 感谢
    D&G | 2014-12-08 14:15

    @jusker thanks~

    //内容来自安云网

  56. 56#
    回复此人 感谢
    凤凰 (凤凰涅磐,浴火重生) | 2014-12-08 14:48

    @jusker thanks~ 赞共享!

    //本文来自安云网

  57. 57#
    回复此人 感谢
    sin (寻找最优雅的解决方案) | 2014-12-17 12:32

    @jusker 就欣赏自己动手写东西的人,赞一个. //内容来自安云网
    提个小建议,加个help可好?正则再多点?
    if(len(sys.argv) < 2):
       print
       print 'please input the path you want to scan '
       print 'usage: python system.py "/var/www/html"  '
       print
       sys.exit(0)

    2.png //安云网咨询系统

  58. 58#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-17 14:57

    @sin OK最近有时间就填加一些木马特征

    //ANYUN.ORG

  59. 59#
    回复此人 感谢
    xsjswt | 2014-12-17 15:02

    为啥我想起那啥年轻人多读书 //内容来自安云网

  60. 60#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-17 15:10

    @xsjswt - -  红烧猪头灯大牛 //内容来自安云网

  61. 61#
    回复此人 感谢
    xsjswt | 2014-12-17 15:55

    @jusker 这玩意只是一个模型。实际在公司里面要能用的话,还有好多东西要考虑。 //安云网咨询系统

  62. 62#
    回复此人 感谢
    我了个去 | 2014-12-17 16:15

    建议把里面的中文都换成英文,否则在实际中使用的时候有时会很烦人 //本文来自安云网

  63. 63#
    回复此人 感谢
    我了个去 | 2014-12-17 16:19

    刚看了下,里面没有中文,之前用过一个,里面有中文,linux机器临检的时候一堆乱码,虽然不怎么影响使用,但很烦人。

    //copyright AnYun.ORG

  64. 64#
    回复此人 感谢
    jusker (http://www.jusker.com) | 2014-12-17 21:38

    @xsjswt 我的一个业余时间写的东西- -。。。所以you know //本文来自安云网

  65. 65#
    回复此人 感谢
    catcat520 (‮‮‮‮‮‮‮‮((<㊙>) | 2015-04-17 13:32

    好jj

    //内容来自AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容