webshell
查杀
河马
webshell
查杀:
http://www.shellpub.com
深信服
Webshell
网站后门检测工具:
http://edr.sangfor.com.cn/backdoor_detection.html
四、
RPM check
检查
系统完整性可以通过
rpm
自带的
-Va
来校验检查所有的
rpm
软件包,查看哪些命令是否被替换了:
./rpm -Va > rpm.log
如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是
8
位长字符串,每个字
符都用以表示文件与
RPM
数据库中一种属性的比较结果 ,如果是
. (
点
)
则表示测试通过。
验证内容中的
8
个信息的具体内容如下:
S
文件大小是否改变
M
文件的类型或文件的权限(
rwx
)是否被改变
5
文件
MD5
校验是否改变(可以看成文件内容是否改变)
D
设备中,从代码是否改变
L
文件路径是否改变
U
文件的属主(所有者)是否改变
G
文件的属组是否改变
T
文件的修改时间是否改变
如果命令被替换了,如果还原回来:
文件提取还原案例:
rpm -qf /bin/ls
查询
ls
命令属于哪个软件包
mv /bin/ls /tmp
先把
ls
转移到
tmp
目录下,造成
ls
命令丢失的假象
rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls
提取
rpm
包中
ls
命
令到当前目录的
/bin/ls
下
cp /root/bin/ls /bin/
把
ls
命令复制到
/bin/
目录 修复文件丢失