应急响应篇-Linux 文件排查_linux文件劫持排查

1、敏感目录
/tmp、/usr/bin、/usr/sbin等经常作为攻击者下载恶意软件的目录及替换文件的目录。

此外，~/.ssh及/etc/ssh也经常被攻击者配置后门，需重点排查。

2、时间点查找
通过find命令查找攻击日期内变动的文件，尝试发现相关恶意文件：
使用命令find / -ctime 0 -name "*.sh"可查找一天内新增的sh文件。
查看指定目录时，可以对文件时间进行排序使用命令ls -alt | head -n 10可查看排序后前十行的内容，ls命令的-t参数可以依据时间排序。

也可以对文件的创建时间、修改时间、访问时间进行排查：
使用stat命令可以详细查看文件的时间信息，如果发现文件的某一时间信息与应急响应时间日期相近、说明可能被篡改，使用stat filename对指定文件进行相关时间查询。

3、特殊文件
对系统中777权限的文件进行筛选。使用命令find /tmp -perm 777可从/tmp文件夹下查找权限为777的文件。

Webshell的排查。在Linux中Webshell的排查可以通过分析文件、流量、日志进行基本的分析。通过基础排查进行初筛、缩小排查范围。也可使用一些工具，例如：findWebshell Scan_Webshell.py等。

对系统命令的排查。ls和ps等命令可能被攻击者恶意替换可以通过ls -alt /bin查看相关系统命令的修改时间、使用ls -alh /bin查看相关文件的大小。

对Linux的后门检测。可使用第三方软件chkrootkit rkhunter进行查杀。
使用chkrootkit时，如果出现infected则说明检测初了系统后门。
使用rkhunter可以检测系统命令的详细信息。

排查SUID程序。使用find / -type f -perm -u=s -ls -uid 0 2>/dev/null排查具有SUID权限的程序