linux伺服器上使用find查殺webshell木馬方法
本文轉自:
http://ju.outofmemory.cn/entry/256317
只要從事網際網路web開發的,都會碰上web站點被入侵的情況。這裡我把查殺的一些方法採用隨記的形式記錄一下,一是方便自己以後的工作需要,二是給其他朋友提供一些參考幫助。寫的不周的地方,高手們不要噴,歡迎給我提供更好的意見,對於我個人來說也是個提高,並表示感謝。
我們的伺服器環境是linux,所以,肯定少不了用find這個命令,並且需要配合ls命令來使用。
1、可以查詢近3天被修改過的檔案,並顯示檔案列表詳細資訊:
find -name "*.php" -type f -mtime -3 -exec ls -l {} \;
當然,結果中可能會包含很多cache類檔案,這些檔案不是我們要查詢的,那麼就需要把這類檔案從查詢結果中排除掉,往往cache檔案都存放到cache特定的目錄。
使用 -prune 引數來進行過濾,增加排除某些目錄條件的查詢命令:
find . -path "/xxxxx/caches" -prune -o -name "*.php" -type f -mtime -3 -exec ls -l {} \;
注意:
(1)、要忽略的路徑引數必須緊跟著搜尋的路徑之後,否則該引數無法起作用。
(2)、路徑結尾不要有“/”符號。
2、查到可疑檔案,分析,確定是木馬後,根據木馬檔案的檔案資訊查詢更多的存放位置。比如木馬的檔名稱為“muma.php”。
find . -name "muma.php" -type f -mtime -5 -exec ls -l {} \;
以上命令,是放寬了查詢時間的長度,查詢最近5天該名稱檔案的資訊列表,可以通過檢視檔案大小來判定是否是同樣的木馬檔案。
看圖中命令結果,檔案大小都是“233”,則有很大的可能性是同樣的木馬檔案,綜合修改時間判斷,最好是也cat一下檢查核驗,以免誤殺。
可以利用find和ls命令的一些更豐富的引數資訊來判定分析。
可能會用到find命令的引數功能列表:
find /home -size +512k #查大於512k的檔案find /home -size -512k #查小於512k的檔案find /home -mtime -2 # 在/home下查最近兩天內改動過的檔案find /home -atime -1 # 查1天之內被存取過的檔案find /home -mmin +60 # 在/home下查60分鐘前改動過的檔案find /home -amin +30 # 查最近30分鐘前被存取過的檔案find /home -newer tmp.txt # 在/home下查更新時間比tmp.txt近的檔案或目錄find /home -anewer tmp.txt # 在/home下查存取時間比tmp.txt近的檔案或目錄
結合ls的兩種時間資訊:
ls -lc filename 列出檔案的 ctime 是在寫入檔案、更改所有者、許可權或連結設定時隨Inode的內容更改而更改的時間。ls -l filename 列出檔案的 mtime 在寫入檔案時隨檔案內容的更改而更改的時間。
ctime和mtime不一致時有可能是木馬檔案,黑客有可能會修改了mtime時間。
3、刪除木馬檔案
這一步應該是進一步分析木馬的入侵路徑等,但是這個過程又是另一個非常複雜的系統工程,後邊再詳細說明,暫時跳過。
find . -name "muma.php" -type f -mtime -5 -size -5k -exec rm -rf {} \;
增加一個過濾條件,-size -5k,即檔案大小小於5k的。
4、查詢目錄下檔案內容包含木馬特定字串的檔案列表,並刪除處理。
#查詢檔案,並顯示檔案的ctime時間,比對檔案資訊find . -name "*.php" -exec grep -rl "YLbgPfj524" {} \; -exec ls -lc {} \;#確認沒有問題後,刪除掉find . -name "*.php" -exec grep -rl "YLbgPfj524" {} \; -exec rm -rfv {} \;
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/8484829/viewspace-2674281/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 記一次Linux伺服器上查殺木馬經歷Linux伺服器
- 伺服器SSH後門木馬查殺伺服器
- CrossRAT 木馬通殺 Windows、MacOS、LinuxROSWindowsMacLinux
- 貝殼木馬專殺工具怎麼用 貝殼木馬專殺工具使用教程
- 怎麼清理webshell木馬後門檔案Webshell
- linux下查詢php木馬LinuxPHP
- 奇虎360安全衛士推出木馬程式查殺功能
- 應急響應-webshell查殺Webshell
- 手工查殺木馬和病毒 作網路安全緝毒高手
- 安全“高手”幫你把木馬殺個片甲不留
- 從剖析cs木馬生成到開發免殺工具
- 網站伺服器木馬後門查詢之威脅情報分析網站伺服器
- 分離帶木馬檔案的方法
- Linux運維中如何對Linux伺服器進行防禦木馬措施?Linux運維伺服器
- 區別木馬與病毒,以及識別與防治木馬的方法
- 如何防止Linux伺服器中木馬?防護步驟是什麼?Linux伺服器
- BetaBot 木馬分析
- 木馬逆向分析
- 木馬學習
- 寬頻來臨 封殺FSO躲避木馬程式的侵擾(轉)
- linux下和windows下如何防止php木馬LinuxWindowsPHP
- 一次Linux伺服器被入侵和刪除木馬程式的經歷Linux伺服器
- Android木馬利用Tor隱藏指令伺服器位置Android伺服器
- 用命令檢查電腦是否被安裝木馬(轉)
- linux 查詢檔案命令 findLinux
- LINUX find的高階查詢Linux
- 快速定位挖礦木馬 !
- “大灰狼”遠控木馬分析及幕後真兇調查
- 陣列使用find查詢用法陣列
- 那些年困擾Linux的蠕蟲、病毒和木馬Linux
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- 多家高校網站被掛馬使用者應小心QQ盜號木馬網站
- Linux基礎:檔案查詢findLinux
- Free Star木馬分析與追溯
- 黑狐”木馬分析報告
- 利用msfvenom生成木馬檔案
- 盜號木馬分析報告
- iexpress全力打造“免檢”木馬Express