1、cat /etc/passwd 未發(fā)現(xiàn)陌生用戶和可疑root權(quán)限用戶。2、netstat -anp 查看所有進(jìn)程及pid號(hào)，未發(fā)現(xiàn)異常連接。3、last 查看最近登錄用戶，未發(fā)現(xiàn)異常4、cat /

1、cat /etc/passwd 未發(fā)現(xiàn)陌生用戶和可疑root權(quán)限用戶。

2、netstat -anp 查看所有進(jìn)程及pid號(hào)，未發(fā)現(xiàn)異常連接。

3、last 查看最近登錄用戶，未發(fā)現(xiàn)異常

4、cat /etc/profile 查看系統(tǒng)環(huán)境變量，未發(fā)現(xiàn)異常

5、ls -al /etc/rc.d/rc3.d ，查看當(dāng)前級(jí)別下開機(jī)啟動(dòng)程序，未見異常（有一些臉生，只好利用搜索引擎了）

6、crontab -l 檢查計(jì)劃任務(wù)，root用戶和web運(yùn)行用戶各檢查一遍，未見任何異常

7、cat /root/.bashrc 和 cat /home/用戶/.bashrc 查看各用戶變量，未發(fā)現(xiàn)異常

8、查看系統(tǒng)日志。主要是/var/log/messages(進(jìn)程日志)、/var/log/wtmp(系統(tǒng)登錄成功日志 who /var/log/wtmp)、/var/log//bmtp(系統(tǒng)登錄失敗日志)、/var/log/pureftpd.log(pureftpd的連接日志)，未發(fā)現(xiàn)異常（考慮到了可能的日志擦除，重點(diǎn)看了日志的連續(xù)性，未發(fā)現(xiàn)明顯的空白時(shí)間段）

9、history 查看命令歷史。cat /home/用戶/.bash_history 查看各用戶命令記錄，未發(fā)現(xiàn)異常

10、系統(tǒng)的查完了，就開始查web的。初步查看各站點(diǎn)修改時(shí)間，繼而查看各站點(diǎn)的access.log和error.log（具體路徑不發(fā)了 ），未發(fā)現(xiàn)報(bào)告時(shí)間前后有異常訪問(wèn)。雖有大量攻擊嘗試，未發(fā)現(xiàn)成功。

11、日志分析完畢，查找可能存在的webshell。方法有兩個(gè)，其一在服務(wù)器上手動(dòng)查找；其二，將web程序下載到本地使用webshellscanner或者web殺毒等軟件進(jìn)行查殺?？紤]到站點(diǎn)較多，數(shù)據(jù)量大，按第一種方法來(lái)。

在linux上查找webshell基本兩個(gè)思路：修改時(shí)間和特征碼查找。

特征碼例子：find 目錄 -name "*.php"（asp、aspx或jsp） |xargs grep "POST[（特征碼部分自己添加）" |more

修改時(shí)間：查看最新3天內(nèi)修改的文件，find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2

當(dāng)然也可以將兩者結(jié)合在一起，find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 -name "*.php"

的確查找到了一些停用的站點(diǎn)下有webshell

12、后來(lái)根據(jù)更詳細(xì)的監(jiān)測(cè)信息，確認(rèn)是誤報(bào)。。。。傷不起