本文记录一些手动排查服务器病毒查的方法
查找疑似病毒文件
通过以下命令可以在服务器的根目录及其子目录中搜索可能包含病毒的文件:
grep -rn --include='*.php' "new Test()"
grep -rn --include='*.php' "rro5cve5"
grep -rn --include='*.php' "set_exception_handler('globalExceptionHandler');"
grep -rn --include='*.php' "logs.class.php"
grep -rn --include='*.php' "ipservice.163.com"
grep -rn --include='*.php' "new Main()"
grep -rn --include='*.php' "abvgpahs"
grep -rn --include='*.php' "Tp1View()"
grep -rn --include='*.php' "job/job.php"
grep -rn --include='*.php' "'cache.php"
grep -rn --include='*.php' "define('Viv, bebegim.','Denzel-你的英雄')"
grep -rn --include='*.php' "你的英雄"
grep -rn --include='*.js' "baidu|haosou|so|sogou|soso|google|sm|yahoo|bing|360"
grep -rn --include='*.js' "hm.baidu.com"
grep -rn "eval("
这些命令将搜索 PHP 和 JavaScript 文件中的关键字或特定代码片段,以便发现潜在的病毒文件。
PHP 注意禁用
eval
函数
检查文件修改时间
通过以下命令可以列出服务器根目录及其子目录中在过去2小时内修改过的文件:
find ./ -type f -mmin -120
指定文件类型查找,可以使用以下命令:
find ./ -type f -name "*.php" -mmin -120
如果想排除某些文件类型,比如排除 .log
文件,可以使用以下命令:
find ./ -type f -not -name "*.log" -mmin -120
这些命令将有助于发现最近被修改的文件,以便及时排查可能的病毒活动。
检查系统启动项和服务
恶意软件可能会注册成系统服务或启动项,以在系统启动时自动运行。因此,检查系统的启动项和服务是很重要的。可以使用以下命令:
systemctl list-unit-files --type=service
systemctl list-units --type=service
这些命令将列出系统中所有的启动项和当前正在运行的服务,帮助发现不明确的或可疑的服务。
检查网络连接
恶意软件可能会与外部服务器建立连接,传输数据或接收指令。使用以下命令可以查看当前的网络连接:
netstat -tuln
这个命令将列出所有当前的网络连接及其状态,帮助发现异常的网络活动。
结语
保护服务器免受病毒和恶意软件的侵害需要综合的安全措施和及时的检测手段。通过以上提到的技术和工具,可以帮助管理员及时发现并清除潜在的威胁,保障服务器的安全稳定运行。
目前评论:0