linux下查木馬__linux

1、cat /etc/passwd 未發現陌生使用者和可疑root許可權使用者。

2、netstat -anp 查看所有進程及pid號，未發現異常串連。

3、last 查看最近登入使用者，未發現異常

4、cat /etc/profile 查看系統內容變數，未發現異常

5、ls -al /etc/rc.d/rc3.d ，查看當前層級下開機啟動程式，未見異常（有一些臉生，只好利用搜尋引擎了）

6、crontab -l 檢查計劃任務，root使用者和web運行使用者各檢查一遍，未見任何異常

7、cat /root/.bashrc 和 cat /home/使用者/.bashrc 查看各使用者變數，未發現異常

8、查看系統日誌。主要是/var/log/messages(進程日誌)、/var/log/wtmp(系統登入成功日誌 who /var/log/wtmp)、/var/log//bmtp(系統登入失敗日誌)、/var/log/pureftpd.log(pureftpd的串連日誌)，未發現異常（考慮到了可能的日誌擦除，重點看了日誌的連續性，未發現明顯的空白時間段）

9、history 查看命令曆史。cat /home/使用者/.bash_history 查看各使用者命令記錄，未發現異常

10、系統的查完了，就開始查web的。初步查看各網站修改時間，繼而查看各網站的access.log和error.log（具體路徑不發了  ），未發現報告時間前後有異常訪問。雖有大量攻擊嘗試，未發現成功。

11、日誌分析完畢，尋找可能存在的webshell。方法有兩個，其一在伺服器上手動尋找；其二，將web程式下載到本地使用webshellscanner或者web殺毒等軟體進行查殺。考慮到網站較多，資料量大，按第一種方法來。

在linux上尋找webshell基本兩個思路：修改時間和特徵碼尋找。

特徵碼例子：find 目錄 -name "*.php"（asp、aspx或jsp） |xargs grep "POST[（特徵碼部分自己添加）" |more 

修改時間：查看最新3天內修改的檔案，find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2

當然也可以將兩者結合在一起，find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 -name "*.php"

的確尋找到了一些停用的網站下有webshell