查找虚拟主机上的异常木马常用命令

时间:2018年10月28日    阅读次数:936

一、检测PHP文件中可能使用的函数,如passthru,exec,shell_exec,system等

find ./ -name "*.php" |xargs grep "passthru" | more
find ./ -name "*.php" |xargs grep "udp:" | more

二、检查较大的PHP文件,一般木马文件都大于50K(而大部分程序不会把所有功能都集中在一起)

find ./ -name "*.php" -size +50 | more

三、检查文件的修改时间,一般服务器出问题,被改动的文件就是在一定周期内

find ./ -name "*.php" -mtime -5 | more #(五天内修改过的文件)
find ./ -name "*.php" -mtime +5 | more #(五天前修改过的文件)

查出来的文件不一定是木马文件,还需要人工排查

回复(3 条回复)
游客
游客
这个是在windows cmd 里面输入就可以查 还是怎样?
游客发表于2018年11月02日
游客
windows 怎么查 在命令行里该怎么输入 目录名查
游客发表于2018年11月02日
管理员回复

Windows我也不懂~,我们用的是CentOS

回复时间:2018年11月06日
游客
windows????1???
游客发表于2018年11月02日
管理员回复

CentOS

Windows的服务器大部分是可视化的吧,比较少用到命令~

回复时间:2018年11月06日
论坛咨询