1、cat /etc/passwd 未發現陌生使用者和可疑root權限使用者。
2、netstat -anp 檢視所有程序及pid号,未發現異常連接配接。
3、last 檢視最近登入使用者,未發現異常
4、cat /etc/profile 檢視系統環境變量,未發現異常
5、ls -al /etc/rc.d/rc3.d ,檢視目前級别下開機啟動程式,未見異常(有一些臉生,隻好利用搜尋引擎了)
6、crontab -l 檢查計劃任務,root使用者和web運作使用者各檢查一遍,未見任何異常
7、cat /root/.bashrc 和 cat /home/使用者/.bashrc 檢視各使用者變量,未發現異常
8、檢視系統日志。主要是/var/log/messages(程序日志)、/var/log/wtmp(系統登入成功日志 who /var/log/wtmp)、/var/log//bmtp(系統登入失敗日志)、/var/log/pureftpd.log(pureftpd的連接配接日志),未發現異常(考慮到了可能的日志擦除,重點看了日志的連續性,未發現明顯的空白時間段)
9、history 檢視指令曆史。cat /home/使用者/.bash_history 檢視各使用者指令記錄,未發現異常
10、系統的查完了,就開始查web的。初步檢視各站點修改時間,繼而檢視各站點的access.log和error.log(具體路徑不發了 ),未發現報告時間前後有異常通路。雖有大量攻擊嘗試,未發現成功。
11、日志分析完畢,查找可能存在的webshell。方法有兩個,其一在伺服器上手動查找;其二,将web程式下載下傳到本地使用webshellscanner或者web殺毒等軟體進行清除。考慮到站點較多,資料量大,按第一種方法來。
在linux上查找webshell基本兩個思路:修改時間和特征碼查找。
特征碼例子:find 目錄 -name "*.php"(asp、aspx或jsp) |xargs grep "POST[(特征碼部分自己添加)" |more
修改時間:檢視最新3天内修改的檔案,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2
當然也可以将兩者結合在一起,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 -name "*.php"
的确查找到了一些停用的站點下有webshell
![1.6 Linux指令行使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)