《Linux 下如何查找木马并处理.docx》由会员分享,可在线阅读,更多相关《Linux 下如何查找木马并处理.docx(2页珍藏版)》请在第壹文秘上搜索。
1、1.inux下如何查找木马并处理1、catetcpasswd未发现陌生用户和可疑root权限用户。2、netstat-anp查看所有进程及Pid号,未发现异常连接。3、IaSt查看最近登录用户,未发现异常4、Catetcprofi1.e查看系统环境变量,未发现异常5、IS-a1.etcrc.drc3.d,查看当前级别下开机启动程序,未见异常(有一些脸生,只好利用搜索引擎了)6crontabT检查计划任务,root用户和Web运行用户各检查一遍,未见任何异常7、cat/root/,bashrc和cat/home/用户/.bashrc查看各用户变量,未发现异常8查看系统口志。主要是var1.ogm
2、essages(进程口志)、var1.ogWtmP(系统登录成功日志whovar1.ogwtmp)xvar1.ogbmtp(系统登录失败日志)、var1.og/pureftpd.1.og(pureftpd的连接日志),未发现异常(考虑到了可能的口志擦除,重点看了日志的连续性,未发现明显的空白时间段)9、history查看命令历史。cat/home/用户/.bash_history查看各用户命令记录,未发现异常10、系统的查完了,就开始查Web的。初步查看各站点修改时间,继而查看各站点的access,1.og和error.1.og(具体路径不发了),未发现报告时间前后有异常访问。虽有大量:攻击尝
3、试,未发现成功。11、日志分析完毕,查找可能存在的WebShe110方法布两个,其一在服务器上手动杳找;其二,将WCb程序下载到本地使用webshe1.1.scanner或者Web杀毒等软件进行查杀。考虑到站点较多,数据量大,按第一种方法来。在IinUX上查找WebSheI1.基本两个思路:修改时间和特征码查找。特征码例子:find目录-name*.php(asp、aspx或jsp)!xargsgrepP0ST(特征码部分自己添加)【more修改时间:查看最新3天内修改的文件,find目录-intime0-o-mtime1-o-mtime2当然也可以将两者结合在一起,findFI泉-mtime0-o-mtime1-o-mtime2-name*.php”的确查找到了些停用的站点下有WebSheI1.12、后来根据更详细的监测信息,确认是误报。伤不起