运用360扫描只能解决表面层面的问题,根本无法找出木马所在文件
既然是web木马就会留下访问的足迹
1.通过命令查询nginx的访问日志,因为涉及到上传文件,所以一定是通过POST方式来上传,那我们就查最近有哪些文件是POST访问的
cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
2.查询整个网站下文件里是否有危险的关键字,如:shell_exec
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'