不输的办法只有一个,就是不上场
常用命令
查看History详细
设置history显示时间和用户名,更方便排查谁在什么时间执行了什么
查看文件改动
检查最近创建的php、jsp文件和上传目录 例如要查找24小时内被修改的JSP文件:
find ./ -mtime 0 -name "*.php"
与测试环境目录做对比
diff -r
账号
域名hosts
有一些挖矿程序会修改 文件,请看一下其中内容是否被更改过
前两天在另外的项目组上发现的某个挖矿病毒就会修改hosts文件
这是从那台服务器上提取的一些恶意的配置内容
日志
secure是应急中最常用的文件,主要记录系统存取数据的文件。日志默认存放位置:/var/log/,日志总是能发现一些蛛丝马迹。
注: 在一些较新的linux已经被替换,下面命令中的 可以尝试换成
常用的shell命令
1、grep显示前后几行信息:
2、grep 查找含有某字符串的所有文件
3、如何显示一个文件的某几行:
命令替换后门
黑客会替换替换top、ps等命令
检测
stat命令查看文件状态并且使用md5sum命令查看文件hash并将其与正常文件hash进行比较。如果确定被替换,使用正常文件替代坏文件即可
工具
1.利用自动化检测程序rookithunter进行检测
rookithunter可以自动化检查主机上可能存在的rookit木马文件,与被篡改的命令等,找到被篡改的命令后可以选择删除命令,然后重新安装命令。
webshell查杀
使用Webshell查杀工具 Windows下D盾等,Linux下河马等
参考
https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC2%E7%AF%87%EF%BC%9ALinux%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html
欢迎师傅加个好友位(๑•̀ㅂ•́)و
领取专属 10元无门槛券
私享最新 技术干货