本文轉自:http://ju.outofmemory.cn/entry/256317php
只要從事互聯網web開發的,都會碰上web站點被入侵的狀況。這裏我把查殺的一些方法採用隨記的形式記錄一下,一是方便本身之後的工做須要,二是給其餘朋友提供一些參考幫助。寫的不周的地方,高手們不要噴,歡迎給我提供更好的意見,對於我我的來講也是個提升,並表示感謝。node
咱們的服務器環境是linux,因此,確定少不了用find這個命令,而且須要配合ls命令來使用。linux
一、能夠查找近3天被修改過的文件,並顯示文件列表詳細信息:web
find -name "*.php" -type f -mtime -3 -exec ls -l {} \;
固然,結果中可能會包含不少cache類文件,這些文件不是咱們要查找的,那麼就須要把這類文件從查詢結果中排除掉,每每cache文件都存放到cache特定的目錄。服務器
使用 -prune 參數來進行過濾,增長排除某些目錄條件的查詢命令:spa
find . -path "/xxxxx/caches" -prune -o -name "*.php" -type f -mtime -3 -exec ls -l {} \;
注意:code
(1)、要忽略的路徑參數必須緊跟着搜索的路徑以後,不然該參數沒法起做用。blog
(2)、路徑結尾不要有「/」符號。開發
二、查到可疑文件,分析,肯定是木馬後,根據木馬文件的文件信息查找更多的存放位置。好比木馬的文件名稱爲「muma.php」。字符串
find . -name "muma.php" -type f -mtime -5 -exec ls -l {} \;
以上命令,是放寬了查詢時間的長度,查詢最近5天該名稱文件的信息列表,能夠經過查看文件大小來斷定是不是一樣的木馬文件。
看圖中命令結果,文件大小都是「233」,則有很大的可能性是一樣的木馬文件,綜合修改時間判斷,最好是也cat一下檢查覈驗,以避免誤殺。
能夠利用find和ls命令的一些更豐富的參數信息來斷定分析。
可能會用到find命令的參數功能列表:
find /home -size +512k #查大於512k的文件 find /home -size -512k #查小於512k的文件 find /home -mtime -2 # 在/home下查最近兩天內改動過的文件 find /home -atime -1 # 查1天以內被存取過的文件 find /home -mmin +60 # 在/home下查60分鐘前改動過的文件 find /home -amin +30 # 查最近30分鐘前被存取過的文件 find /home -newer tmp.txt # 在/home下查更新時間比tmp.txt近的文件或目錄 find /home -anewer tmp.txt # 在/home下查存取時間比tmp.txt近的文件或目錄
結合ls的兩種時間信息:
ls -lc filename 列出文件的 ctime 是在寫入文件、更改全部者、權限或連接設置時隨Inode的內容更改而更改的時間。 ls -l filename 列出文件的 mtime 在寫入文件時隨文件內容的更改而更改的時間。
ctime和mtime不一致時有多是木馬文件,黑客有可能會修改了mtime時間。
三、刪除木馬文件
這一步應該是進一步分析木馬的入侵路徑等,可是這個過程又是另外一個很是複雜的系統工程,後邊再詳細說明,暫時跳過。
find . -name "muma.php" -type f -mtime -5 -size -5k -exec rm -rf {} \;
增長一個過濾條件,-size -5k,即文件大小小於5k的。
四、查找目錄下文件內容包含木馬特定字符串的文件列表,並刪除處理。
#查找文件,並顯示文件的ctime時間,比對文件信息 find . -name "*.php" -exec grep -rl "YLbgPfj524" {} \; -exec ls -lc {} \; #確認沒有問題後,刪除掉 find . -name "*.php" -exec grep -rl "YLbgPfj524" {} \; -exec rm -rfv {} \;