Linux查找疑似被掛木馬文件方法以及Nginx根據不同IP做不同反向代理
阿新 • • 發佈:2018-02-26
源碼 文件的 red war 反向代理 www. csdn lan define
一、先說被掛馬的文件吧。
木馬文件一般會偽裝成正常文件,或者非可執行文件,以達到欺騙的目的。
比方說,偽裝成icon圖標文件。
找到一個偽裝的文件,用編輯器打開,就會發現裏面是源碼。
這種的工作原理大概是,在某一個正常的文件中用include引入這個圖標文件,
然後,文件中的代碼就被不知不覺的跟隨正常的應用文件執行了。
同時,為了達到隱藏的目的,include的代碼也不是顯式的寫的。
例如:@include "\x2fh\x6fm\x65/\x77w\x77r\x6fo\x74/\x64e\x66a\x75l\x74/\x77p
這裏有一點要註意,\xdd這樣的寫法,其中dd是16進制數,用這樣的元字符來代替
相應的字母,以達到隱式拼接路徑的目的。
下面說怎麽查找:
我用的命令是:
grep --color -i -r -n "@include" /home/
其他方法可查看這個鏈接。
這樣就可以在指定位置,比如“/home/”目錄裏查看所有包含“@include”的文件
然後用文本編輯器打開疑似木馬文件的那個文件,看是否是代碼。
如果是,找出其代表性的字符。比如,define的常量。
接下來就用類似上面的步驟,查找出具有相同特征的文件就行了。
二、用Nginx做反向代理
先上代碼:
location / { proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; if ($remote_addr ~* 255.255.255.0){ proxy_pass http://127.0.0.1:8080; break; } proxy_pass https://www.baidu.com; }
其中如果是255.255.255.0這個IP來訪問,則跳轉到本地8080端口
前提是要打開並監聽這個端口
如果不是,則跳轉到百度
這裏有一點要註意,if條件裏面,如果包含路徑,要用$request_uri來代替。
同時,如果if中不使用proxy_pass則不會執行if裏面的配置。
也附上鏈接地址。
Linux查找疑似被掛木馬文件方法以及Nginx根據不同IP做不同反向代理