當(dāng)前位置：首頁 > 运维知识 > linux >内容正文

linux

linux服务器上使用find查杀webshell木马方法

發(fā)布時(shí)間：2024/3/26 linux 35 豆豆

生活随笔收集整理的這篇文章主要介紹了 linux服务器上使用find查杀webshell木马方法小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

linux服務(wù)器上使用find查殺webshell木馬方法
本文轉(zhuǎn)自：http://ju.outofmemory.cn/entry/256317

只要從事互聯(lián)網(wǎng)web開發(fā)的，都會(huì)碰上web站點(diǎn)被入侵的情況。這里我把查殺的一些方法采用隨記的形式記錄一下，一是方便自己以后的工作需要，二是給其他朋友提供一些參考幫助。寫的不周的地方，高手們不要噴，歡迎給我提供更好的意見，對(duì)于我個(gè)人來說也是個(gè)提高，并表示感謝。

我們的服務(wù)器環(huán)境是linux，所以，肯定少不了用find這個(gè)命令，并且需要配合ls命令來使用。

1、可以查找近3天被修改過的文件,并顯示文件列表詳細(xì)信息：

find -name "*.php" -type f -mtime -3 -exec ls -l {} ;
當(dāng)然，結(jié)果中可能會(huì)包含很多cache類文件，這些文件不是我們要查找的，那么就需要把這類文件從查詢結(jié)果中排除掉，往往cache文件都存放到cache特定的目錄。

使用 -prune 參數(shù)來進(jìn)行過濾，增加排除某些目錄條件的查詢命令：

find . -path "/xxxxx/caches" -prune -o -name "*.php" -type f -mtime -3 -exec ls -l {} ;
注意：

（1）、要忽略的路徑參數(shù)必須緊跟著搜索的路徑之后，否則該參數(shù)無法起作用。

（2）、路徑結(jié)尾不要有“/”符號(hào)。

2、查到可疑文件，分析，確定是木馬后，根據(jù)木馬文件的文件信息查找更多的存放位置。比如木馬的文件名稱為“muma.php”。

find . -name "muma.php" -type f -mtime -5 -exec ls -l {} ;
20160426144502

以上命令，是放寬了查詢時(shí)間的長度，查詢最近5天該名稱文件的信息列表，可以通過查看文件大小來判定是否是同樣的木馬文件。

看圖中命令結(jié)果，文件大小都是“233”，則有很大的可能性是同樣的木馬文件，綜合修改時(shí)間判斷，最好是也cat一下檢查核驗(yàn)，以免誤殺。

可以利用find和ls命令的一些更豐富的參數(shù)信息來判定分析。

可能會(huì)用到find命令的參數(shù)功能列表：

find /home -size +512k #查大于512k的文件
find /home -size -512k #查小于512k的文件
find /home -mtime -2 # 在/home下查最近兩天內(nèi)改動(dòng)過的文件
find /home -atime -1 # 查1天之內(nèi)被存取過的文件
find /home -mmin +60 # 在/home下查60分鐘前改動(dòng)過的文件
find /home -amin +30 # 查最近30分鐘前被存取過的文件
find /home -newer tmp.txt # 在/home下查更新時(shí)間比tmp.txt近的文件或目錄
find /home -anewer tmp.txt # 在/home下查存取時(shí)間比tmp.txt近的文件或目錄
結(jié)合ls的兩種時(shí)間信息：

ls -lc filename 列出文件的 ctime 是在寫入文件、更改所有者、權(quán)限或鏈接設(shè)置時(shí)隨Inode的內(nèi)容更改而更改的時(shí)間。
ls -l filename 列出文件的 mtime 在寫入文件時(shí)隨文件內(nèi)容的更改而更改的時(shí)間。
ctime和mtime不一致時(shí)有可能是木馬文件，黑客有可能會(huì)修改了mtime時(shí)間。

3、刪除木馬文件

這一步應(yīng)該是進(jìn)一步分析木馬的入侵路徑等，但是這個(gè)過程又是另一個(gè)非常復(fù)雜的系統(tǒng)工程，后邊再詳細(xì)說明，暫時(shí)跳過。

find . -name "muma.php" -type f -mtime -5 -size -5k -exec rm -rf {} ;
增加一個(gè)過濾條件，-size -5k，即文件大小小于5k的。

4、查找目錄下文件內(nèi)容包含木馬特定字符串的文件列表，并刪除處理。

查找文件，并顯示文件的ctime時(shí)間，比對(duì)文件信息

find . -name "*.php" -exec grep -rl "YLbgPfj524" {} ; -exec ls -lc {} ;

確認(rèn)沒有問題后，刪除掉

find . -name "*.php" -exec grep -rl "YLbgPfj524" {} ; -exec rm -rfv {} ;
Oracle & MSSQL & Postgresql & Mysql 調(diào)優(yōu) & 優(yōu)化

總結(jié)

以上是生活随笔為你收集整理的linux服务器上使用find查杀webshell木马方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：威尔克姆ES4.2 + CorelDRA
下一篇：使用iso镜像包制作离线本地镜像源(本地