電腦中毒是不可避免的,Linux系統也是如此,在得知系統中毒後,首要任務是找到病毒文件並將其清除,在Linux系統下可使用find命令查找病毒,下面通過實例講解下find如何查找病毒。
例子 下面補充一下 - find /home/www/web/* -type f -name "*.php" | xargs grep "eval("> /home/www/eval.txt
- find /home/www/web/* -type f -name "*.php" | xargs grep "tcp:"> /home/www/tcp.txt
- find /home/www/web/* -type f -name "*.php" | xargs grep "udp:"> /home/www/udp.txt
複製代碼
網上流行在用的特徵碼是:(PS:不過一定有遺留) 後門特徵-》cha88.cn 後門特徵-》c99shell 後門特徵-》phpspy 後門特徵-》Scanners 後門特徵-》cmd.php 後門特徵-》str_rot13 後門特徵-》webshell 後門特徵-》EgY_SpIdEr 後門特徵-》tools88.com 後門特徵-》SECFORCE 後門特徵-》eval(“?》 可疑代碼特徵-》system( 可疑代碼特徵-》passthru( 可疑代碼特徵-》shell_exec( 可疑代碼特徵-》exec( 可疑代碼特徵-》popen( 可疑代碼特徵-》proc_open 可疑代碼特徵-》eval($ 可疑代碼特徵-》assert($ 危險MYSQL代碼-》returns string soname 危險MYSQL代碼-》into outfile 危險MYSQL代碼-》load_file 加密後門特徵-》eval(gzinflate( 加密後門特徵-》eval(base64_decode( 加密後門特徵-》eval(gzuncompress( 加密後門特徵-》gzuncompress(base64_decode( 加密後門特徵-》base64_decode(gzuncompress( 一句話後門特徵-》eval($_ 一句話後門特徵-》assert($_ 一句話後門特徵-》require($_ 一句話後門特徵-》require_once($_ 一句話後門特徵-》include($_ 一句話後門特徵-》include_once($_ 一句話後門特徵-》call_user_func(”assert“ 一句話後門特徵-》call_user_func($_ 一句話後門特徵-》$_POST/GET/REQUEST/COOKIE[?]($_POST/GET/REQUEST/COOKIE[?] 一句話後門特徵-》echo(file_get_contents($_POST/GET/REQUEST/COOKIE 上傳後門特徵-》file_put_contents($_POST/GET/REQUEST/COOKIE,$_POST/GET/REQUEST/COOKIE 上傳後門特徵-》fputs(fopen(”?“,”w“),$_POST/GET/REQUEST/COOKIE[ .htaccess插馬特徵-》SetHandler application/x-httpd-php .htaccess插馬特徵-》php_value auto_prepend_file .htaccess插馬特徵-》php_value auto_append_file Linux下find命令查找病毒文件的方法就介紹到這裡了,使用find命令能夠快速定位中毒的文件,及早清除病毒能夠避免造成更多不必要的損失。
文章出處
|