1、cat /etc/passwd 未發(fā)現(xiàn)陌生用戶和可疑root權限用戶。2、netstat -anp 查看所有進程及pid號，未發(fā)現(xiàn)異常連接。3、last 查看最近登錄用戶，未發(fā)現(xiàn)異常4、cat /

1、cat /etc/passwd 未發(fā)現(xiàn)陌生用戶和可疑root權限用戶。

2、netstat -anp 查看所有進程及pid號，未發(fā)現(xiàn)異常連接。

3、last 查看最近登錄用戶，未發(fā)現(xiàn)異常

4、cat /etc/profile 查看系統(tǒng)環(huán)境變量，未發(fā)現(xiàn)異常

5、ls -al /etc/rc.d/rc3.d ，查看當前級別下開機啟動程序，未見異常（有一些臉生，只好利用搜索引擎了）

6、crontab -l 檢查計劃任務，root用戶和web運行用戶各檢查一遍，未見任何異常

7、cat /root/.bashrc 和 cat /home/用戶/.bashrc 查看各用戶變量，未發(fā)現(xiàn)異常

8、查看系統(tǒng)日志。主要是/var/log/messages(進程日志)、/var/log/wtmp(系統(tǒng)登錄成功日志 who /var/log/wtmp)、/var/log//bmtp(系統(tǒng)登錄失敗日志)、/var/log/pureftpd.log(pureftpd的連接日志)，未發(fā)現(xiàn)異常（考慮到了可能的日志擦除，重點看了日志的連續(xù)性，未發(fā)現(xiàn)明顯的空白時間段）

9、history 查看命令歷史。cat /home/用戶/.bash_history 查看各用戶命令記錄，未發(fā)現(xiàn)異常

10、系統(tǒng)的查完了，就開始查web的。初步查看各站點修改時間，繼而查看各站點的access.log和error.log（具體路徑不發(fā)了 ），未發(fā)現(xiàn)報告時間前后有異常訪問。雖有大量攻擊嘗試，未發(fā)現(xiàn)成功。

11、日志分析完畢，查找可能存在的webshell。方法有兩個，其一在服務器上手動查找；其二，將web程序下載到本地使用webshellscanner或者web殺毒等軟件進行查殺?？紤]到站點較多，數據量大，按第一種方法來。

在linux上查找webshell基本兩個思路：修改時間和特征碼查找。

特征碼例子：find 目錄 -name "*.php"（asp、aspx或jsp） |xargs grep "POST[（特征碼部分自己添加）" |more

修改時間：查看最新3天內修改的文件，find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2

當然也可以將兩者結合在一起，find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 -name "*.php"

的確查找到了一些停用的站點下有webshell

12、后來根據更詳細的監(jiān)測信息，確認是誤報。。。。傷不起