文章总结： 本文提供了在开放目录或源代码泄露中搜寻WebShell的威胁狩猎技巧。通过特定的搜索语法识别暴露的WebShell，可以推断服务器已被长期入侵。此外，基于这些发现可进一步推断受害者的ASN及地理位置，从而绘制已知勒索软件或APT活动的受害者分布图，辅助安全分析。 综合评分： 82 文章分类： 威胁情报,安全运营,WEB安全

威威胁狩Tips

Khan安全团队

2026年1月29日 08:14 海南

在开放目录或源代码泄露中搜寻暴露的 Web Shell。关键信息：表明服务器已被入侵一段时间（持续访问）；可据此推断 ASN/国家/地区，以绘制已知勒索软件攻击或 APT 活动的受害者分布图。

web.html~".php" and (web.html~"eval(" or web.html~"base64_decode(" or web.html~"passthru(" or web.html~"shell_exec(" or web.html~"system(")

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Khan安全团队 《威威胁狩Tips》