find /site/* -type f -name “*.php” |xargs grep “eval”
如果木马做了免杀处理,可以查看是否使用加密函数
find /site/* -type f -name “*.php” |xargs grep “base64_decode”
查看是否做了拼接处理
find /site/* -type f -name “*.php” |xargs grep “@$”
要查找24小时内被修改的PHP文件
find ./ -mtime 0 -name “*.php”
根据确定时间去反推变更的文件
ls -al /tmp | grep “Feb 27”
查找777的权限以及隐藏的文件 (以“.”开头的文件具有隐藏属性):
find / *.jsp -perm 4777
netstat –antlp | more
查询监听端口
ps -ef | awk ‘{print}’ | sort -n | uniq >1
ls /proc | sort -n |uniq >2
diff 1 2