首先使用冰蝎创建一个内存马

成功进入内存马界面

接下来尝试使用findshell查杀,项目主页为

https://github.com/4ra1n/FindShell

服务器上首先部署代码,执行

git clone https://github.com/4ra1n/FindShell.git

然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装)

mvn package

打包后在target目录下生成FindShell-1.0.jar文件

通过官方文档得知检测命令为

java -jar FindShell.jar --pid [目标JVM的PID]

我们首先通过jps命令获取jvm的pid

再执行

java -jar FindShell-1.0.jar --pid 2230

发现内存马

如果需要自行分析内容,可以增加--debug参数,执行

java -jar FindShell-1.0.jar --pid 2230 --debug

这样dump出来的class文件会放到out目录下,我们也可以自行反编译class文件分析,下图为反编译看到的内存马内容

发现内存马就需要清理,鉴于内存马可能有多个,且程序也有可能无法全部查出来,有条件的情况下,最好还是可以重启tomcat

----------------20220317补充--------------

参考文章https://xz.aliyun.com/t/10910

程序为了减少dump过多导致性能等问题,做了黑名单,满足黑名单名称的类才会进行dump分析,默认dump的文件比较少,因此我做了下简单修改,让程序不过分影响性能的情况下尽量多dump一些文件分析

1.修改src/main/java/org/sec/util/NameFilter.java  33行if (klassName.contains(k)) {为if (klassName.toLowerCase().contains(k)) {  使其匹配class名称时忽略大小写

2.修改src/main/java/org/sec/Constant.java  增加keyword,框起来的是我自己增加的

增加了cmd,filter,servlet三个

3.修改后重新执行mvn package打包即可

内存马查杀工具FindShell试用相关推荐

  1. java内存马查杀工具

    java-memshell-scanner:扫描java内存马 <%@ page import="java.net.URL" %> <%@ page import ...

  2. Java内存马查杀GUI工具

    注意:请勿在生产环境使用,存在打崩业务的风险,目前适用于自己搭建靶机分析学习 功能: 关于Java Web内存马查杀的文章和工具已经有不少,不过大都不够完善,各有缺点:于是我做了一款GUI版本的实时内 ...

  3. 【应急响应】网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析

    网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析 章节内容点: IIS&.NET-注入-基于时间配合日志分析 Apache&PHP-漏洞-基于漏 ...

  4. 内存马查杀copagent研究

    项目简介 copagent主要用于内存马查杀. 项目编译 1.生成agent.jar 2.将其拷贝进入cop的resources文件夹中 3.生成cop.jar 将刚才的agent.jar,拷贝到re ...

  5. 应急响应 -162天:webshell和内存马查杀

    首要任务: 获取当前WEB环境的组成架构(语言,数据库,中间件,系统等) #IIS&.NET-注入-基于时间配合日志分析 背景交代:某公司在某个时间发现网站出现篡改或异常 应急人员:通过时间节 ...

  6. 网站后门查杀工具推荐

    作为一个小站长,对于网站的后门代码肯定是深恶痛绝的,尤其是在建站初期,因为一些原因而使用非正版主题,很容易出现这个问题,而往往一些不良的代码贩子,总喜欢给自己贩卖的主题等源代码贴上完美破解.无后门等标 ...

  7. 恶意软件查杀工具分享

    此分享为恶意软件查杀工具,百度云盘下载云盘下载链接 提取码:py07 此链接永久有效

  8. 1.41亿部手机装有间谍软件! 360推国内首个CIQ查杀工具

    近日,一款名为Carrier IQ(简称CIQ)的内核级间谍软件被曝光.该软件会暗中收集用户隐私信息,甚至每按下一个键盘都会被秘密地记录在案.中国不少智能手机用户,尤其是水货手机用户人心惶惶.对此,3 ...

  9. [应急响应]7款WebShell扫描检测查杀工具

    1.D盾 防火墙 阿D出品,免费,GUI,WebShell扫描检测查杀 功能特性简介 支持系统:win2003/win2008/win2012/win2016 PHP支持:FastCGI/ISAPI ...

最新文章

  1. r 保留之前曲线_R简单数据处理和分析
  2. Ganglia集群监控系统搭建
  3. GDCM:gdcm::FileMetaInformation的测试程序
  4. 姚期智:算法将推动下一波AI浪潮,现有革新将达极限
  5. 堆栈的缓冲区溢出进不了系统_一文理解缓冲区溢出
  6. jenkins+docker 持续构建非docker in docker
  7. 横向移动-WINRM
  8. Python刷脸签到系统(附源码)
  9. moments音标_moment的意思在线翻译,解释moment中文英文含义,短语词组,音标读音,例句,词源,同义词【澳典网ODict.Net】...
  10. 3DMark2001 SE + 汉化包 下载
  11. 什么是Kodu---Kodu少儿编程第一天
  12. matplotlib.pyplot.colormaps色彩图cmap
  13. 全球主要高光谱遥感卫星介绍
  14. matlab中im2bw
  15. 设计一个程序,程序中有三个类,Triangle,Lader,Circle。
  16. GIF一下你也可以拍大片 微影戏程序
  17. 嵌入式设备的知识产权保护
  18. 跟我学AngularJs:AngulaJs开发技巧汇总(持续更新)
  19. matlabR2016a版本下载容易走进的错误(软件管家下的
  20. 怎么处理ERP体系软件数据的安全问题

热门文章

  1. 全网首发,自制ADK To Win11PE(1)中文+包
  2. Regression----李宏毅
  3. 在R语言中实现sem进行结构方程建模和路径图可视化
  4. pyside2登录页面与主页面
  5. 前端JS实现一键导入excel表格
  6. 文章复现-基于夜间光遥感数据的中国各省GDP预测模型(一)
  7. 入门科普:一文看懂机器学习3种类型的概念、根本差别及应用
  8. FB投放记录--0325
  9. 使用python开发“魂斗罗”游戏
  10. 南通一个Java程序员,我在很苦逼地上班