linux伺服器上使用find查殺webshell木馬方法

本文轉自：

只要從事網際網路web開發的，都會碰上web站點被入侵的情況。這裡我把查殺的一些方法採用隨記的形式記錄一下，一是方便自己以後的工作需要，二是給其他朋友提供一些參考幫助。寫的不周的地方，高手們不要噴，歡迎給我提供更好的意見，對於我個人來說也是個提高，並表示感謝。

我們的伺服器環境是linux，所以，肯定少不了用find這個命令，並且需要配合ls命令來使用。

1、可以查詢近3天被修改過的檔案,並顯示檔案列表詳細資訊：

find -name "*.php" -type f -mtime -3 -exec ls -l {} \;

當然，結果中可能會包含很多cache類檔案，這些檔案不是我們要查詢的，那麼就需要把這類檔案從查詢結果中排除掉，往往cache檔案都存放到cache特定的目錄。

使用 -prune 引數來進行過濾，增加排除某些目錄條件的查詢命令：

find . -path "/xxxxx/caches" -prune -o  -name "*.php"  -type f -mtime -3 -exec ls -l {} \;

注意：

（1）、要忽略的路徑引數必須緊跟著搜尋的路徑之後，否則該引數無法起作用。

（2）、路徑結尾不要有“/”符號。

2、查到可疑檔案，分析，確定是木馬後，根據木馬檔案的檔案資訊查詢更多的存放位置。比如木馬的檔名稱為“muma.php”。

find . -name "muma.php" -type f -mtime -5 -exec ls -l  {} \;

以上命令，是放寬了查詢時間的長度，查詢最近5天該名稱檔案的資訊列表，可以透過檢視檔案大小來判定是否是同樣的木馬檔案。

看圖中命令結果，檔案大小都是“233”，則有很大的可能性是同樣的木馬檔案，綜合修改時間判斷，最好是也cat一下檢查核驗，以免誤殺。

可以利用find和ls命令的一些更豐富的引數資訊來判定分析。

可能會用到find命令的引數功能列表：

find   /home   -size   +512k                #查大於512k的檔案find   /home   -size   -512k               #查小於512k的檔案find   /home   -mtime   -2                # 在/home下查最近兩天內改動過的檔案find /home    -atime -1                 # 查1天之內被存取過的檔案find /home -mmin    +60                 # 在/home下查60分鐘前改動過的檔案find /home   -amin   +30                #  查最近30分鐘前被存取過的檔案find /home   -newer   tmp.txt           #  在/home下查更新時間比tmp.txt近的檔案或目錄find /home   -anewer   tmp.txt          #  在/home下查存取時間比tmp.txt近的檔案或目錄

結合ls的兩種時間資訊：

ls -lc filename 列出檔案的   ctime    是在寫入檔案、更改所有者、許可權或連結設定時隨Inode的內容更改而更改的時間。ls  -l  filename   列出檔案的   mtime  在寫入檔案時隨檔案內容的更改而更改的時間。

ctime和mtime不一致時有可能是木馬檔案，駭客有可能會修改了mtime時間。

3、刪除木馬檔案

這一步應該是進一步分析木馬的入侵路徑等，但是這個過程又是另一個非常複雜的系統工程，後邊再詳細說明，暫時跳過。

find . -name "muma.php" -type f -mtime -5    -size   -5k -exec rm -rf  {} \;

增加一個過濾條件，-size -5k，即檔案大小小於5k的。

4、查詢目錄下檔案內容包含木馬特定字串的檔案列表，並刪除處理。

#查詢檔案，並顯示檔案的ctime時間，比對檔案資訊find . -name "*.php" -exec grep -rl "YLbgPfj524" {} \; -exec ls -lc {} \;#確認沒有問題後，刪除掉find . -name "*.php" -exec grep -rl "YLbgPfj524" {} \; -exec rm -rfv {} \;