要查找linux系统***证据,可从如下几个方面入手:
1.last,lastlog , who /var/log/wtmp(bmtp为登录失败日志)命令可查看最近登录的帐户及时间



2., /var/log/messages(进程日志)日志信息可以通过accept关键字查看系统是否有被可疑IP地址登录成功信息。


3.用户任务计划,文件/var/spool/cron/tabs/用户,某些***会将后门程序,病毒设置为计划任务,定时执行



4.几个经常被放置***,病毒的目录,/tmp, /var/tmp, /dev/shm由于这些目录都设置了SBIT,即所有用户都可读,可写,可执行。并且在访问这些目录的同时拥有root权限,所以即使***没有拿到root权限,在这些目录上传病毒,***是非常方便的





5.通过时间来查找,find / -ctime n   n为指定的时间,可通过上述找到的信息,综合判断,然后选取时间点,查找在那个时间点创建的文件。比如2天前的24小时内,就可用find / -ctime 2 > /tmp/file.log (如果不想刷屏,可重定向到文件)



6.各类服务日志,比如apache日志:
$APACHE_HOME/logs/access_log ,$APACHE_HOME/logs/error_log


7.日志分析完毕 查找可能存在的webshell 1,在服务器上手动查找 2.把站点文件下载到本地使用webshellscanner等杀毒软件查找。站点较多时推荐用第一种方法


通过特征码  find 目录  -name "*.php"(或者asp,aspx,jsp) | xargs grep "POST(特征码)" | more


修改时间    find 目录 -mtime 0 -o mtime 1  -o mtime 2  -name "*.php"