Linux 下如何查找木马并处理 - ericyuan - 博客园

标签: | 发表时间:2023-04-13 22:41 | 作者:
出处:https://www.cnblogs.com

1、cat /etc/passwd 未发现陌生用户和可疑root权限用户。

2、netstat -anp 查看所有进程及pid号,未发现异常连接。

3、last 查看最近登录用户,未发现异常

4、cat /etc/profile 查看系统环境变量,未发现异常

5、ls -al /etc/rc.d/rc3.d ,查看当前级别下开机启动程序,未见异常(有一些脸生,只好利用搜索引擎了)

6、crontab -l 检查计划任务,root用户和web运行用户各检查一遍,未见任何异常

7、cat /root/.bashrc 和 cat /home/用户/.bashrc 查看各用户变量,未发现异常

8、查看系统日志。主要是/var/log/messages(进程日志)、/var/log/wtmp(系统登录成功日志 who /var/log/wtmp)、/var/log//bmtp(系统登录失败日志)、/var/log/pureftpd.log(pureftpd的连接日志),未发现异常(考虑到了可能的日志擦除,重点看了日志的连续性,未发现明显的空白时间段)

9、history 查看命令历史。cat /home/用户/.bash_history 查看各用户命令记录,未发现异常

10、系统的查完了,就开始查web的。初步查看各站点修改时间,继而查看各站点的access.log和error.log(具体路径不发了 ),未发现报告时间前后有异常访问。虽有大量攻击尝试,未发现成功。

11、日志分析完毕,查找可能存在的webshell。方法有两个,其一在服务器上手动查找;其二,将web程序下载到本地使用webshellscanner或者web杀毒等软件进行查杀。考虑到站点较多,数据量大,按第一种方法来。 在linux上查找webshell基本两个思路:修改时间和特征码查找。 特征码例子:find 目录 -name "*.php"(asp、aspx或jsp) |xargs grep "POST[(特征码部分自己添加)" |more 修改时间:查看最新3天内修改的文件,find 目录 -mtime 0 -o -mtime 1 -o -mtime 2 当然也可以将两者结合在一起,find 目录 -mtime 0 -o -mtime 1 -o -mtime 2 -name "*.php" 的确查找到了一些停用的站点下有webshell

--------

查找全站关键字:“pack”、“eval”

相关 [linux 木马 ericyuan] 推荐:

Linux 下如何查找木马并处理 - ericyuan - 博客园

- -
1、cat /etc/passwd 未发现陌生用户和可疑root权限用户. 2、netstat -anp 查看所有进程及pid号,未发现异常连接. 3、last 查看最近登录用户,未发现异常. 4、cat /etc/profile 查看系统环境变量,未发现异常. 5、ls -al /etc/rc.d/rc3.d ,查看当前级别下开机启动程序,未见异常(有一些脸生,只好利用搜索引擎了).

linux下模拟一个木马程序运行过程

- -
将一个程序放入到后台,悄悄的执行. 系统进程:由系统内核自行管理. 系统中的每个进程,都有一个位置的ID,这就是pid,而且每次启动进程以后,PID都不相同. 作用:查看当前运行在后台的进程有哪些. fg   进程编号    把进程从后台调到前台执行. kill %进程编号  杀死进程. ps aux   打印系统所有进程.

Javascript 里跑Linux

- rockmaple - Shellex's Blog
牛逼到暴的大拿 Fabrice Bellard,用Javascript实现了一个x86 PC 模拟器,然后成功在这个模拟器里面跑Linux(请用Firefox 4 / Google Chrome 11打开,Chome 12有BUG). 关于这个东西… 伊说 “I did it for fun“,大大啊大大啊….

Linux Ksplice,MySQL and Oracle

- Syn - DBA Notes
Oracle 在 7 月份收购了 Ksplice. 使用了 Ksplice 的 Linux 系统,为 Kernel 打补丁无需重启动,做系统维护的朋友应该明白这是一个杀手级特性. 现在该产品已经合并到 Oracle Linux 中. 目前已经有超过 700 家客户,超过 10 万套系统使用了 Ksplice (不知道国内是否已经有用户了.

linux makefile编写

- hl - C++博客-首页原创精华区
在讲述这个Makefile之前,还是让我们先来粗略地看一看Makefile的规则. target也就是一个目标文件,可以是Object File,也可以是执行文件. prerequisites就是,要生成那个target所需要的文件或是目标. command也就是make需要执行的命令. 这是一个文件的依赖关系,也就是说,target这一个或多个的目标文件依赖于prerequisites中的文件,其生成规则定义在 command中.

Linux下的VDSO

- 圣斌 - Adam's
VDSO(Virtual Dynamically-linked Shared Object)是个很有意思的东西, 它将内核态的调用映射到用户态的地址空间中, 使得调用开销更小, 路径更好.. 开销更小比较容易理解, 那么路径更好指的是什么呢. 拿x86下的系统调用举例, 传统的int 0×80有点慢, Intel和AMD分别实现了sysenter, sysexit和syscall, sysret, 即所谓的快速系统调用指令, 使用它们更快, 但是也带来了兼容性的问题.

Linux wget命令

- - CSDN博客推荐文章
wget是linux最常用的下载命令, 一般的使用方法是: wget + 空格 + 要下载文件的url路径. 例如: # wget  http://www.linuxsense.org/xxxx/xxx.tar.gz. 简单说一下-c参数, 这个也非常常见, 可以断点续传, 如果不小心终止了, 可以继续使用命令接着下载.

linux 小技巧

- - DBA Blog
2:如何限制用户的最小密码长度. 修改/etc/login.defs里面的PASS_MIN_LEN的值. 比如限制用户最小密码长度是8:. 3:如何使新用户首次登陆后强制修改密码. 4:更改Linux启动时用图形界面还是字符界面. 将id:5:initdefault: 其中5表示默认图形界面. 改id:3: initdefault: 3表示字符界面.

Linux iostat命令

- - CSDN博客系统运维推荐文章
iostat用于输出CPU和磁盘I/O相关的统计信息. . iostat [ -c | -d ] [ -k | -m ] [ -t ] [ -V ] [ -x ] [ device [. iostat各个参数说明:. -c 仅显示CPU统计信息.与-d选项互斥. -d 仅显示磁盘统计信息.与-c选项互斥.

Linux的架构

- - 博客园_首页
作者:Vamei 出处:http://www.cnblogs.com/vamei 欢迎转载,也请保留这段声明. 我们以下图为基础,说明Linux的架构(architecture). (该图参考《 Advanced Programming in Unix Environment》). 最内层是我们的硬件,最外层是我们常用的各种应用,比如说使用firefox浏览器,打开evolution查看邮件,运行一个计算流体模型等等.