[轉]Linux服务器被黑遭敲诈，3小时紧急逆袭！

http://www.yunweipai.com/archives/22780.html

#查看是否为管理员增加或者修改

find / -type f -perm 4000

#显示文件中查看是否存在系统以外的文件

rpm -Vf /bin/ls

rpm -Vf /usr/sbin/sshd

rpm -Vf /sbin/ifconfig

rpm -Vf /usr/sbin/lsof

#检查系统是否有elf文件被替换

#在web目录下运行

grep -r “getRuntime” ./

#查看是否有木马

find . -type f -name “*.jsp” | xargs grep -i  “getRuntime”

#运行的时候被连接或者被任何程序调用

find . -type f -name “*.jsp” | xargs grep -i  “getHostAddress”

#返回ip地址字符串

find . -type f -name “*.jsp” | xargs grep -i  “wscript.shell”

#创建WshShell对象可以运行程序、操作注册表、创建快捷方式、访问系统文件夹、管理环境变量

find . -type f -name “*.jsp” | xargs grep -i  “gethostbyname”

#gethostbyname()返回对应于给定主机名的包含主机名字和地址信息的hostent结构指针

find . -type f -name “*.jsp” | xargs grep -i  “bash”

#调用系统命令提权

find . -type f -name “*.jsp” | xargs grep -i  “jspspy”

#Jsp木马默认名字

find . -type f -name “*.jsp” | xargs grep -i  “getParameter”

fgrep – R “admin_index.jsp” 20120702.log > log.txt

#检查是否有非授权访问管理日志

#要进中间件所在日志目录运行命令

fgrep – R “and1=1″*.log>log.txt

fgrep – R “select “*.log>log.txt

fgrep – R “union “*.log>log.txt

fgrep – R “../../”*.log >log.txt

fgrep – R “Runtime”*.log >log.txt

fgrep – R “passwd”*.log >log.txt

#查看是否出现对应的记录

fgrep – R “uname -a”*.log>log.txt

fgrep – R “id”*.log>log.txt

fgrep – R “ifconifg”*.log>log.txt

fgrep – R “ls -l”*.log>log.txt

#查看是否有shell攻击

#以root权限执行

cat /var/log/secure

#查看是否存在非授权的管理信息

tail -n 10  /var/log/secure

last cat /var/log/wtmp

cat /var/log/sulog

#查看是否有非授权的su命令

cat /var/log/cron

#查看计划任务是否正常

tail -n 100 ~./bash_history | more

查看临时目录是否存在攻击者入侵时留下的残余文件

ls -la /tmp

ls -la /var/tmp

#如果存在.c .py .sh为后缀的文件或者2进制elf文件。

历史记录和相关访问日志已经被删除，痕迹清除。

安装chrootkit检查是否有rootkit

mkdir chrootkit

cd chrootkit/

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

tar zxvf chkrootkit.tar.gz 

cd chkrootkit-0.50/

ls

yum install -y glibc-static

make sense

./chkrootkit

vi /etc/motd 发现