信息安全应急响应系列跟网站入侵解析.pptVIP

网站恶意木马扫描器(Webshell Scanner) Linux下常用的响应工具 工具 主要功能 ps 可查看系统当前运行的进程 Locate/find 用于查找指定名称的文件 Netstat 列出所有监听端口及这些端口的所有连接者 Grep/awk 列出所有包含指定字符串的文件，可以用于查找可以的后门以及Webshell文件 strace 开始或者附加到一个当前运行的进程中，显示这个进程所作的所有系统调用。这可以用来判断程序运行的行为，并且来决定是否是合适的程序。 Grep命令的使用 查找一句话木马（?php eval($_post[cmd]);?） 假设网站的目录为/app/website/，我们需要查看该目录下是否包含该形式的一句话木马文件： 方法1： $ grep -i –r eval\(\$_post /app/website/* 其中-i表示不区分大小写，-r表示搜索指定目录及其子目录 方法2: $find /app/website/ -type f|xargs grep eval\(\$_post ?xargs 将find搜索出的文件名称变成 grep后面需要的参数 strace命令的使用 作用：跟踪程序执行时的系统调用和所接收的信号，通常的用法是strace执行一直到command结束。 示例： 用strace来调试apa