把自己工作中积累的一些经验写出来,希望对大家有帮助
1)找到被篡改页面,stat文件记录更改时间及用户等信息
2)将被篡改页面拷贝至其他非web目录,恢复正常页面
3)查看页面被篡改时间的accesslog,找出后门文件及操作ip(可能有多个ip访问后门,需要全部记录,重点记录第一个访问ip)
4)stat后门文件记录时间及操作用户等信息,备份文件至非web目录后删除
5)查找其余后门文件,可以使用webshell查杀(如:http://www.d99net.net/down/WebShellKill_V2.0.8.zip,可先通过find /home/wwwroot/ -name *.php >> /data/webfilename然后再cat /data/webfilename |xargs tar -czvf /data/phpfile.tar.gz打包全部php文件 ),之前记录ip的所有请求记录,通过时间查找(如find /home/work –mtime -1 –type f 查找/home/work目录下一天内mtime变更过的文件),通过后门特征字符串查找(如find /|xargs grep -ri "Bot1234" -l 2>/dev/null 查找根目录下所有包含Bot1234字符串的文件)
6)备份和删除全部发现的后门,完成止损
7)通过在accesslog里面搜索可疑ip操作记录判断入侵方式
8)修复漏洞
9)根据篡改后页面特征查找是否存在其他被篡改页面(命令可参考5中提到的)并恢复