各位大佬们,小弟我问一个问题。在检测webshell的后门(黑吃黑),就抓包就完事?我放到了实际的环境当中(外网,类似于www.baidu.com/shell.php),之前看到了做本地检测的那种webshell,检测是局域网就不传数据。然后我抓了一下包,发现没有异常,是不是就没有后门呀。有没有更好的思路呀,求求各位大佬给我分享分享。
你要看是什么样的 webshell,你这种检测方法是针对于产生了局外流量的 shell,但是有的 shell 是不存在这种局外流量的,比如我可以设置另一个备用密码,即使你修改了初始密码,作者还是可以利用他留下的备用密码登陆你的 shell。
可以参考这两篇:
https://www.freebuf.com/articles/web/182156.html
1 个赞
etc/host里 127.0.0.1 加个域名再抓吧试试