1、上传目录关键字查找

上传目录是最有可能存在webshell的，一般来说需要优先排查上传目录

脚本代码排查

grep -rn php upload/

关键字排查

eval、system、assert、phpspy、c99sh、milw0rm、gunerpress、shell_exec、passthru、bash等关键字

find /www/upload -name "*.php" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'

2、web非上传目录排查增删查改

如果上传目录没有发现webshell，那么有可能攻击者使用了除web上传接口的其他途径写入了文件，如命令执行等，此时需要排查web目录的非上传路径。

备份对比

对比非常传目录前后文件变动，寻找可疑文件，再进一步关键字匹配分析

vimdiff <(cd /tmp/1.1; find . | sort) <(cd /tmp/1.2; find . | sort)

3、时间戳排查

跟据情况调取短期内改动文件分析

find / -mtime -10 -mtime +1 2>/dev/null #一天前，十天内变动的文件

4、文件名排查

使用tree命令列举整个web目录文件，然后排查可疑文件

windows linux都可用

tree /var/www/

5、日志排查

cat /var/log/apache2/access.log | grep "antSword"

[出自:jiwo.org]

可获取对方ip、系统时间、浏览器各项信息等