系统管理员通常从svn/git中检索代码,部署站点后通常首先会生成该站点所有文件的MD5值,如果上线后网站页面内容被篡改(如挂马)等,可以比对之前生成MD5值快速查找去那些文件被更改,为了使系统管理员第一时间发现,可结合crontab或nagios等工具。

程序测试如下:

  1.     # python check_change.py
  2.         Usage: python check_change.py update /home/wwwroot
  3.                python check_change.py check /home/wwwroot
  4.     # python check_change.py update /data/www #生成站点的md5值
  5.     # echo ' ' > /data/www/sitemap.html #测试清空文件
  6.     # rm -rf /data/www/sitemap.xml #测试删除文件
  7.     # python check_change.py check /data/www  #查找那些文件被篡改
  8.     /data/www/sitemap.xml
  9.     /data/www/sitemap.html

代码如下(check_change.py):

  1.     #!/usr/bin/env python  
  2.  
  3.     import os,sys,subprocess  
  4.  
  5.     def update(path):
  6.         f = open(file,'w')
  7.         for root,dirs,files in os.walk(path):
  8.             for name in files:
  9.                 line = os.path.join(root, name)
  10.                 (stdin,stderr) = subprocess.Popen(['md5sum',line],stdout=subprocess.PIPE).communicate()
  11.                 f.write(stdin)
  12.         f.close()  
  13.  
  14.     def check(path):
  15.         f = open(file,'r')
  16.         for line in f:
  17.             check_ok = """echo '%s' | md5sum -c > /dev/null 2>&1""" % line
  18.             #print check_ok
  19.             if not subprocess.call(check_ok, shell = True) == 0:
  20.                 abnormal = line.split()
  21.                 print abnormal[1]
  22.         f.close()  
  23.  
  24.     def Usage():
  25.         print '''
  26.         Usage: python %s update /home/wwwroot
  27.                python %s check /home/wwwroot
  28.         ''' % (sys.argv[0],sys.argv[0])
  29.         sys.exit()  
  30.  
  31.     if len(sys.argv) != 3:
  32.         Usage()  
  33.  
  34.     file = 'file.key'
  35.     model = sys.argv[1]
  36.     path = sys.argv[2]  
  37.  
  38.     if os.path.exists(path) == False:
  39.         print "\033[;31mThe directory or file does not exist\033[0m"
  40.         sys.exit()
  41.     elif model == 'update':
  42.         update(path)
  43.     elif model == 'check':
  44.         check(path)
  45.     else:
  46.         Usage()

来源:https://blog.linuxeye.com/376.html

检测网站挂马程序(Python)的更多相关文章

  1. sqlserver防止数据库挂马新尝试

    想法不错,放着以后应该会有用 网站挂马非常让人头痛,每次的安全措施都是治标不治本,想找到根本原因,只能去分析你的程序源代码,由于很多网站不是一个程序员开发,很多的注入漏洞很难发现,曾经通过公共文件加入 ...

  2. 网站图片挂马检测及PHP与python的图片文件恶意代码检测对比

    前言 周一一早网管收到来自阿里云的一堆警告,发现我们维护的一个网站下有数十个被挂马的文件.网管直接关了vsftpd,然后把警告导出邮件给我们. 取出部分大致如下: 服务器IP/名称 木马文件路径 更新 ...

  3. Python:快速查找出被挂马的文件

    网站被入侵,担心被挂马,因此就想自己写个脚本来查找那些被挂马的文件 思路 需要实现准备一份未受感染的源代码和一份可能受感染的源代码,然后运行以下脚本,就能找出到底哪些文件被挂马了. 其中,主要是根据比 ...

  4. wordpress网站被挂马以及防御方法

    wordpress本身的安全性是非常的高的,一般不会被轻易的破解,被挂马,但是我们也不能够过度迷信wordpress的安全性,凡是连接上互联网的服务器和电脑,都存在被破解的风险性.所以我们在日常维护自 ...

  5. 常见JS挂马方法及如何防止网站被黑客挂马?

    最近有朋友说自己的网站平时并未作弊,文章也都是原创的,更新很稳定.可不知道为什么网站突然就被各大搜索引擎降权了,一直找不到原因.最后发现是网站被挂马了,导致网站被连累了.在此,借助马海祥博客的平台,给 ...

  6. Centos服务器被挂马的一次抓马经历

    转载:http://blog.csdn.net/qq_21439971/article/details/54631440 今天早上五点,收到监控宝的警告短信,说是网站M无法访问了.睡的正香,再说网站所 ...

  7. 织梦Dedecms容易被挂马文件以及可疑文件汇总

    1. 被植入木马,然后网站打开后自动弹出博彩,赌博,色情网站,一般这种病毒的特征代码如下 二.织梦CMS被挂马清理方法 1.删除增加的管理员service.spider等用户名. 2.删除根目录的as ...

  8. 织梦dedecms修改include和plus重命名提高安全性防漏洞注入挂马

    织梦dedecms是新手站长使用得比较多的一个建站开源程序,正因如此,也是被被入侵挂马比较多的程序.下面就来跟大家说一下怎么重新命名dedecms的include文件夹以及plus文件夹来提高网站的安 ...

  9. 织梦CMS被挂马特征汇总

    一.织梦CMS被挂马特征汇总 2013织梦CMS被挂马特征汇总.最近很多朋友反应后台多了几个系统管理员用户:service.spider等,而且自己之前的管理员用户登陆时候会提示用户名不存在.还有朋友 ...

随机推荐

  1. cssText笔记

    style.cssText 用来获取/设置元素的样式 设置: <div id= "a" style= "background: red;"> doc ...

  2. 转 Problem: AnyConnect was not able to establish a connection to the specified secu

    不多说直接上问题,在点击连接时,也是能正常连接上输入密码,在输出用户名密码后 连接后,会出现: problem:anyconnect was net able to establish a conne ...

  3. Rar related CMD

    recursively add folder Document to archive: (with all the files) rar a *.rar Document recursively ad ...

  4. 线程带参数的Udp接收

    //work wk = new work(ReadUdpDate); ParameterizedThreadStart parmThre = new ParameterizedThreadStart( ...

  5. 记一次坑die(误)的题目--HDU2553--(DFS)

    ,N皇后问题   Time Limit: 2000/1000 MS (Java/Others) Memory Limit: 32768/32768 K (Java/Others) Total Subm ...

  6. java数组的引用

    数组属于应用型变量,因此两个相投类型的数组如果具有相同的引用,它们就有完全相同的元素 如: int a[]={1,2,3},b[]={4,5} 如果a=b;则a[]={4,5} public clas ...

  7. C++:string类的使用

    类 <string> std::string String类的定义 , 其也是个模板类 typedef basic_string<char> string; String cl ...

  8. Leetcode389

    Find the Difference Given two strings s and t which consist of only lowercase letters. 给出两个字符串,s和t,都 ...

  9. 使用Log4net记录日志

    首先说说为什么要进行日志记录.在一个完整的程序系统里面,日志系统是一个非常重要的功能组成部分.它可以记录下系统所产生的所有行为,并按照某种规范表达出来.我们可以使用日志系统所记录的信息为系统进行排错, ...

  10. 【转载】区间DP

    http://www.cnblogs.com/zsboy/archive/2013/03/08/2950261.html 博客园 首页 新随笔 联系 订阅 管理 定义区间DP   区间动态规划问题一般 ...