首先使用冰蝎创建一个内存马

成功进入内存马界面

接下来尝试使用findshell查杀,项目主页为

https://github.com/4ra1n/FindShell

服务器上首先部署代码,执行

git clone https://github.com/4ra1n/FindShell.git

然后进入到FindShell目录,打包项目,执行(如果没有mvn命令需要先yum -y install apache-maven安装)

mvn package

打包后在target目录下生成FindShell-1.0.jar文件

通过官方文档得知检测命令为

java -jar FindShell.jar --pid [目标JVM的PID]

我们首先通过jps命令获取jvm的pid

再执行

java -jar FindShell-1.0.jar --pid 2230

发现内存马

如果需要自行分析内容,可以增加--debug参数,执行

java -jar FindShell-1.0.jar --pid 2230 --debug

这样dump出来的class文件会放到out目录下,我们也可以自行反编译class文件分析,下图为反编译看到的内存马内容

发现内存马就需要清理,鉴于内存马可能有多个,且程序也有可能无法全部查出来,有条件的情况下,最好还是可以重启tomcat

----------------20220317补充--------------

参考文章https://xz.aliyun.com/t/10910

程序为了减少dump过多导致性能等问题,做了黑名单,满足黑名单名称的类才会进行dump分析,默认dump的文件比较少,因此我做了下简单修改,让程序不过分影响性能的情况下尽量多dump一些文件分析

1.修改src/main/java/org/sec/util/NameFilter.java  33行if (klassName.contains(k)) {为if (klassName.toLowerCase().contains(k)) {  使其匹配class名称时忽略大小写

2.修改src/main/java/org/sec/Constant.java  增加keyword,框起来的是我自己增加的

增加了cmd,filter,servlet三个

3.修改后重新执行mvn package打包即可

内存马查杀工具FindShell试用相关推荐

  1. java内存马查杀工具

    java-memshell-scanner:扫描java内存马 <%@ page import="java.net.URL" %> <%@ page import ...

  2. Java内存马查杀GUI工具

    注意:请勿在生产环境使用,存在打崩业务的风险,目前适用于自己搭建靶机分析学习 功能: 关于Java Web内存马查杀的文章和工具已经有不少,不过大都不够完善,各有缺点:于是我做了一款GUI版本的实时内 ...

  3. 【应急响应】网站入侵篡改指南Webshell内存马查杀漏洞排查时间分析

    网站入侵篡改指南&Webshell内存马查杀&漏洞排查&时间分析 章节内容点: IIS&.NET-注入-基于时间配合日志分析 Apache&PHP-漏洞-基于漏 ...

  4. 内存马查杀copagent研究

    项目简介 copagent主要用于内存马查杀. 项目编译 1.生成agent.jar 2.将其拷贝进入cop的resources文件夹中 3.生成cop.jar 将刚才的agent.jar,拷贝到re ...

  5. 应急响应 -162天:webshell和内存马查杀

    首要任务: 获取当前WEB环境的组成架构(语言,数据库,中间件,系统等) #IIS&.NET-注入-基于时间配合日志分析 背景交代:某公司在某个时间发现网站出现篡改或异常 应急人员:通过时间节 ...

  6. 网站后门查杀工具推荐

    作为一个小站长,对于网站的后门代码肯定是深恶痛绝的,尤其是在建站初期,因为一些原因而使用非正版主题,很容易出现这个问题,而往往一些不良的代码贩子,总喜欢给自己贩卖的主题等源代码贴上完美破解.无后门等标 ...

  7. 恶意软件查杀工具分享

    此分享为恶意软件查杀工具,百度云盘下载云盘下载链接 提取码:py07 此链接永久有效

  8. 1.41亿部手机装有间谍软件! 360推国内首个CIQ查杀工具

    近日,一款名为Carrier IQ(简称CIQ)的内核级间谍软件被曝光.该软件会暗中收集用户隐私信息,甚至每按下一个键盘都会被秘密地记录在案.中国不少智能手机用户,尤其是水货手机用户人心惶惶.对此,3 ...

  9. [应急响应]7款WebShell扫描检测查杀工具

    1.D盾 防火墙 阿D出品,免费,GUI,WebShell扫描检测查杀 功能特性简介 支持系统:win2003/win2008/win2012/win2016 PHP支持:FastCGI/ISAPI ...

最新文章

  1. 怎么让员工服从管理_面对员工抬杠,情绪负面,管理者,你该怎么管
  2. 配置Bean的作用域对象
  3. C/C++ 中嵌入汇编总结
  4. 12.C++ string 操作
  5. .sln vcxproj vcxproj.filter文件作用(转载)
  6. Windows打印服务器上无法删除打印机
  7. mysql 一张表连两次_MySQL查询两次和双表联查哪个效率高
  8. 制作ROS小车系列(一)——小车底盘制作(麦科勒姆轮地盘)
  9. 《STL源码分析》学习笔记 — STL概论与版本简介
  10. p5.js炫酷背景动态js特效代码
  11. 为什么我说低代码是“行业毒瘤”?
  12. scons脚本应用笔记
  13. ZSD017出货达成率
  14. 舵机控制 - 玛克君arduino
  15. 关于多普达手机上WIFI和GPRS的设置问题注意几点
  16. 初识fastAdmin表格列表的功能
  17. 使用STM32控制TMC5160驱动步进电机
  18. 5、Java基础——变量和常量、数据类型、基本数据类型的默认值、内存单位的换算
  19. API接口调用--历史上的今天(v1.0)
  20. 计算机专业用苹果哪款笔记本,2019笔记本电脑排行榜 苹果笔记本电脑哪款好

热门文章

  1. 蒙太奇图片代码+说明(*小白专用,三分钟内完成*)
  2. 2016英国国际安防展:科达定位高阶IP视频监控品牌
  3. html5测试苹果8p多少分,苹果8p美版和国行有什么区别
  4. Go 的时间格式化为什么是 2006-01-02 15:04:05?
  5. 智慧海洋学习 task 1
  6. parser.add_argument()用法
  7. 高德拉特三问:改变什么、改变成什么、怎样改变?
  8. Bugku Web CTF-江湖魔头1
  9. php写字板代码,JS+HTML5 Canvas实现简单的写字板功能示例
  10. 1-4 传统操作系统的分类