写在前面
想着服务器安全方面的事情,如果有人已经埋了后门的话,如何把后门检测出来,或者可执行脚本检测出来
防范攻击方式:权限检查
遵循“最小权限原则”,普通文件权限设为644,可执行文件设为755
定期用 find / -perm 777 检查异常权限文件。
问题:检查出来的文件过多
可以使用
# 查找权限包含 777 的文件(如 777、775、770 等)
find / -perm /777 -type f -print
# 查找权限严格为 777 的文件
find / -perm 0777 -type f -print
# 排除特定目录(如 /proc、/sys)以减少结果
find / \( -path /proc -o -path /sys \) -prune -o -perm 777 -print
比如系统默认给到的目录下,一般是会有一些777文件的,是正常的