Kỹ thuật check shell, mã độc trên server linux

1: Login quyền root ssh! bằng putty: 

Bước 1: Chạy lệnh # touch checkshell.txt ( touch là lện tạo file )
Bước 2: Chạy lệnh

egrep "cgitelnet|webadmin|base64_decode|PHPShell|tryag|r 57shell|c99shell|sniper|noexecshell|/etc/passwd|revengans" /home/*/public_html -R | cut -d: -f1 | uniq > /root/checkshell.txt

2 : Gọi 1 em xinh đẹp tới làm 1 bài tẩm quất xong thì gõ tiếp lệnh trong ssh là :

# cat checkshell.tx ( #để xem danh sách các file nghi ngờ )

# cat /path/to/file # để xem nội dung từng file

để xem nội dung file, nếu nội dung bị mã hóa base64 sẽ phải kiểm tra thủ công các file base64 này trên trình duyệt để xác định chính xác tránh xóa nhầm. dùng lệnh mv để move file nghi ngờ vào 1 thư mục lưu tạm

3. Server có cài đặt ClamAV thì chỉ cần run lệnh này là xong, vừa check vừa xóa rất tiện.

Code:

/usr/local/cpanel/3rdparty/bin/clamscan -ri --remove /home