✨
Emergency-Response
  • 介绍
  • Windows
    • 系统信息
    • 进程与端口
    • 服务
    • 日志分析
    • 相关工具
  • Linux
    • 系统信息
    • 进程与端口
    • 服务
    • 文件分析
    • 日志分析
    • 相关工具
    • 案例
      • Redis
      • SSH
      • 短连接
      • 挖矿木马排查
  • Web
    • 拒绝服务攻击
    • WebShell查杀
    • 日志分析
  • DataBase
    • MSSQL
    • MySQL
  • 杂项
    • 钓鱼邮件分析
    • 分析工具
    • 勒索病毒工具
Powered by GitBook
On this page
  • Windows
  • Linux
  • 命令查找
  • 工具
  • 创建Audit审计规则

Was this helpful?

  1. Web

WebShell查杀

Previous拒绝服务攻击Next日志分析

Last updated 5 years ago

Was this helpful?

Windows

D盾

Linux

命令查找

$ find  /site/* -type f -name "*.php"  |xargs grep "eval"
$ find /site/* -type f -name "*.php" |xargs grep "base64_decode"
$ find /site/* -type f -name "*.php" |xargs grep "@$"
$ find /www/ -name "*.php" |xargs egrep 'assert|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

查找24小时内被修改的PHP文件:

$ find ./ -mtime 0 -name "*.php"

工具

创建Audit审计规则

$ vim /etc/audit/audit.rules
-a exclude,always -F msgtype=CONFIG_CHANGE
-a exit,always -F arch=b64 -F uid=48 -S execve -k webshell
河马
深信服Webshell网站后门检测工具