文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

linux服务器上怎么查杀webshell木马

2023-06-05 16:08

关注

这篇文章主要讲解了“linux服务器上怎么查杀webshell木马”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“linux服务器上怎么查杀webshell木马”吧!

我们的服务器环境是linux,所以,肯定少不了用find这个命令,并且需要配合ls命令来使用。

可以查找近3天被修改过的文件,并显示文件列表详细信息:

find -name "*.php" -type f -mtime -3 -exec ls -l {} \;

当然,结果中可能会包含很多cache类文件,这些文件不是我们要查找的,那么就需要把这类文件从查询结果中排除掉,往往cache文件都存放到cache特定的目录。

使用 -prune 参数来进行过滤,增加排除某些目录条件的查询命令:

find . -path "/xxxxx/caches" -prune -o  -name "*.php"  -type f -mtime -3 -exec ls -l {} \;

注意:

(1)、要忽略的路径参数必须紧跟着搜索的路径之后,否则该参数无法起作用。

(2)、路径结尾不要有“/”符号。

查到可疑文件,分析,确定是木马后,根据木马文件的文件信息查找更多的存放位置。比如木马的文件名称为“muma.php”。

find . -name "muma.php" -type f -mtime -5 -exec ls -l  {} \;

linux服务器上怎么查杀webshell木马

以上命令,是放宽了查询时间的长度,查询最近5天该名称文件的信息列表,可以通过查看文件大小来判定是否是同样的木马文件。

看图中命令结果,文件大小都是“233”,则有很大的可能性是同样的木马文件,综合修改时间判断,最好是也cat一下检查核验,以免误杀。

可以利用find和ls命令的一些更丰富的参数信息来判定分析。

可能会用到find命令的参数功能列表:

find   /home   -size   +512k                #查大于512k的文件find   /home   -size   -512k               #查小于512k的文件find   /home   -mtime   -2                # 在/home下查最近两天内改动过的文件find /home    -atime -1                 # 查1天之内被存取过的文件find /home -mmin    +60                 # 在/home下查60分钟前改动过的文件find /home   -amin   +30                #  查最近30分钟前被存取过的文件find /home   -newer   tmp.txt           #  在/home下查更新时间比tmp.txt近的文件或目录find /home   -anewer   tmp.txt          #  在/home下查存取时间比tmp.txt近的文件或目录

结合ls的两种时间信息:

ls -lc filename 列出文件的   ctime    是在写入文件、更改所有者、权限或链接设置时随Inode的内容更改而更改的时间。ls  -l  filename   列出文件的   mtime  在写入文件时随文件内容的更改而更改的时间。

ctime和mtime不一致时有可能是木马文件,黑客有可能会修改了mtime时间。

删除木马文件

这一步应该是进一步分析木马的入侵路径等,但是这个过程又是另一个非常复杂的系统工程,后边再详细说明,暂时跳过。

find . -name "muma.php" -type f -mtime -5    -size   -5k -exec rm -rf  {} \;

增加一个过滤条件,-size -5k,即文件大小小于5k的。

查找目录下文件内容包含木马特定字符串的文件列表,并删除处理。

#查找文件,并显示文件的ctime时间,比对文件信息find . -name "*.php" -exec grep -rl "YLbgPfj524" {} \; -exec ls -lc {} \;#确认没有问题后,删除掉find . -name "*.php" -exec grep -rl "YLbgPfj524" {} \; -exec rm -rfv {} \;

感谢各位的阅读,以上就是“linux服务器上怎么查杀webshell木马”的内容了,经过本文的学习后,相信大家对linux服务器上怎么查杀webshell木马这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是编程网,小编将为大家推送更多相关知识点的文章,欢迎关注!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-人工智能
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯