Linux 下如何查找木马并处理.docx

《Linux 下如何查找木马并处理.docx》由会员分享，可在线阅读，更多相关《Linux 下如何查找木马并处理.docx（2页珍藏版）》请在第壹文秘上搜索。

1、1.inux下如何查找木马并处理1、catetcpasswd未发现陌生用户和可疑root权限用户。2、netstat-anp查看所有进程及Pid号，未发现异常连接。3、IaSt查看最近登录用户，未发现异常4、Catetcprofi1.e查看系统环境变量，未发现异常5、IS-a1.etcrc.drc3.d,查看当前级别下开机启动程序，未见异常（有一些脸生，只好利用搜索引擎了）6crontabT检查计划任务，root用户和Web运行用户各检查一遍，未见任何异常7、cat/root/,bashrc和cat/home/用户/.bashrc查看各用户变量，未发现异常8查看系统口志。主要是var1.ogm

2、essages（进程口志）、var1.ogWtmP（系统登录成功日志whovar1.ogwtmp）xvar1.ogbmtp（系统登录失败日志）、var1.og/pureftpd.1.og（pureftpd的连接日志），未发现异常（考虑到了可能的口志擦除，重点看了日志的连续性，未发现明显的空白时间段）9、history查看命令历史。cat/home/用户/.bash_history查看各用户命令记录，未发现异常10、系统的查完了，就开始查Web的。初步查看各站点修改时间，继而查看各站点的access,1.og和error.1.og（具体路径不发了），未发现报告时间前后有异常访问。虽有大量:攻击尝

3、试，未发现成功。11、日志分析完毕,查找可能存在的WebShe110方法布两个，其一在服务器上手动杳找；其二，将WCb程序下载到本地使用webshe1.1.scanner或者Web杀毒等软件进行查杀。考虑到站点较多，数据量大，按第一种方法来。在IinUX上查找WebSheI1.基本两个思路:修改时间和特征码查找。特征码例子：find目录-name*.php（asp、aspx或jsp）!xargsgrepP0ST（特征码部分自己添加）【more修改时间：查看最新3天内修改的文件，find目录-intime0-o-mtime1-o-mtime2当然也可以将两者结合在一起，findFI泉-mtime0-o-mtime1-o-mtime2-name*.php”的确查找到了些停用的站点下有WebSheI1.12、后来根据更详细的监测信息，确认是误报。伤不起