1、cat /etc/passwd 未發現陌生用戶和可疑root權限用戶。
2、netstat -anp 查看所有進程及pid號,未發現異常連接。
3、last 查看最近登錄用戶,未發現異常
4、cat /etc/profile 查看系統環境變量,未發現異常
5、ls -al /etc/rc.d/rc3.d ,查看當前級別下開機啟動程序,未見異常(有一些臉生,只好利用搜索引擎了)
6、crontab -l 檢查計划任務,root用戶和web運行用戶各檢查一遍,未見任何異常
7、cat /root/.bashrc 和 cat /home/用戶/.bashrc 查看各用戶變量,未發現異常
8、查看系統日志。主要是/var/log/messages(進程日志)、/var/log/wtmp(系統登錄成功日志 who /var/log/wtmp)、/var/log//bmtp(系統登錄失敗日志)、/var/log/pureftpd.log(pureftpd的連接日志),未發現異常(考慮到了可能的日志擦除,重點看了日志的連續性,未發現明顯的空白時間段)
9、history 查看命令歷史。cat /home/用戶/.bash_history 查看各用戶命令記錄,未發現異常
10、系統的查完了,就開始查web的。初步查看各站點修改時間,繼而查看各站點的access.log和error.log(具體路徑不發了 ),未發現報告時間前后有異常訪問。雖有大量攻擊嘗試,未發現成功。
11、日志分析完畢,查找可能存在的webshell。方法有兩個,其一在服務器上手動查找;其二,將web程序下載到本地使用webshellscanner或者web殺毒等軟件進行查殺。考慮到站點較多,數據量大,按第一種方法來。 在linux上查找webshell基本兩個思路:修改時間和特征碼查找。 特征碼例子:find 目錄 -name "*.php"(asp、aspx或jsp) |xargs grep "POST[(特征碼部分自己添加)" |more 修改時間:查看最新3天內修改的文件,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 當然也可以將兩者結合在一起,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 -name "*.php" 的確查找到了一些停用的站點下有webshell
--------
查找全站關鍵字:“pack”、“eval”