linux如果中木马如何查杀溯源

1.文本类型对象特征提取

1.1 webshell

中间件访问日志

提取事件、IP、浏览器UA、入侵以及疑似入侵等信息

根据POST大小和频率特征判断webshell木马位置

查找72小时新增的文件: find / -ctime -2

查找24小时内被修改的文件: find / -mtime 0 -name *

1.2 java内存马查杀

说明：会有误报，需要人工二次分析确认

1) java-memshell-scan https://github.com/c0ny1/java-memshell-scanner

通过jsp脚本扫描java web Filter/Servlet型木马

2) copagent https://github.com/LandGrey/copagent/raw/release/cop.jar

Usage: java -jar cop.jar

1.3 漏洞定位

根据上传的webshell、命令执行等访问日志、错误日志、服务器使用中间件容器等，确定攻击者使用的漏洞

1.4 排查恶意程序

攻击者获取webshell之后做过哪些操作？留下了哪些攻击者痕迹残留？落地文件有没有特征字符串、有没有反弹域名、IP等

1.5 行为特征提取

恶意文件存放目录、命名方式

权限维持方式

攻击时间段

使用哪些工具