Linux 下如何查找木馬并處理
1、cat /etc/passwd 未發(fā)現(xiàn)陌生用戶和可疑root權(quán)限用戶。2、netstat -anp 查看所有進(jìn)程及pid號(hào),未發(fā)現(xiàn)異常連接。3、last 查看最近登錄用戶,未發(fā)現(xiàn)異常4、cat /
1、cat /etc/passwd 未發(fā)現(xiàn)陌生用戶和可疑root權(quán)限用戶。
2、netstat -anp 查看所有進(jìn)程及pid號(hào),未發(fā)現(xiàn)異常連接。
3、last 查看最近登錄用戶,未發(fā)現(xiàn)異常
4、cat /etc/profile 查看系統(tǒng)環(huán)境變量,未發(fā)現(xiàn)異常
5、ls -al /etc/rc.d/rc3.d ,查看當(dāng)前級(jí)別下開機(jī)啟動(dòng)程序,未見異常(有一些臉生,只好利用搜索引擎了)
6、crontab -l 檢查計(jì)劃任務(wù),root用戶和web運(yùn)行用戶各檢查一遍,未見任何異常
7、cat /root/.bashrc 和 cat /home/用戶/.bashrc 查看各用戶變量,未發(fā)現(xiàn)異常
8、查看系統(tǒng)日志。主要是/var/log/messages(進(jìn)程日志)、/var/log/wtmp(系統(tǒng)登錄成功日志 who /var/log/wtmp)、/var/log//bmtp(系統(tǒng)登錄失敗日志)、/var/log/pureftpd.log(pureftpd的連接日志),未發(fā)現(xiàn)異常(考慮到了可能的日志擦除,重點(diǎn)看了日志的連續(xù)性,未發(fā)現(xiàn)明顯的空白時(shí)間段)
9、history 查看命令歷史。cat /home/用戶/.bash_history 查看各用戶命令記錄,未發(fā)現(xiàn)異常
10、系統(tǒng)的查完了,就開始查web的。初步查看各站點(diǎn)修改時(shí)間,繼而查看各站點(diǎn)的access.log和error.log(具體路徑不發(fā)了 ),未發(fā)現(xiàn)報(bào)告時(shí)間前后有異常訪問(wèn)。雖有大量攻擊嘗試,未發(fā)現(xiàn)成功。
11、日志分析完畢,查找可能存在的webshell。方法有兩個(gè),其一在服務(wù)器上手動(dòng)查找;其二,將web程序下載到本地使用webshellscanner或者web殺毒等軟件進(jìn)行查殺??紤]到站點(diǎn)較多,數(shù)據(jù)量大,按第一種方法來(lái)。
在linux上查找webshell基本兩個(gè)思路:修改時(shí)間和特征碼查找。
特征碼例子:find 目錄 -name "*.php"(asp、aspx或jsp) |xargs grep "POST[(特征碼部分自己添加)" |more
修改時(shí)間:查看最新3天內(nèi)修改的文件,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2
當(dāng)然也可以將兩者結(jié)合在一起,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 -name "*.php"
的確查找到了一些停用的站點(diǎn)下有webshell
12、后來(lái)根據(jù)更詳細(xì)的監(jiān)測(cè)信息,確認(rèn)是誤報(bào)。。。。傷不起