運用360掃描只能解決表面層面的問題,根本無法找出木馬所在文件
既然是web木馬就會留下訪問的足跡
1.通過命令查詢nginx的訪問日誌,因爲涉及到上傳文件,所以一定是通過POST方式來上傳,那我們就查最近有哪些文件是POST訪問的
cat *.log|grep "POST"|grep 200 | awk '{print $7}' |grep -o -E '.*.php' | sort -n | uniq -c
2.查詢整個網站下文件裏是否有危險的關鍵字,如:shell_exec
find . -name "*.php" -print0 | xargs -0 grep -rn 'shell_exec'