入侵排查

玄机靶场--第一章应急响应- Linux入侵排查和上一次的webshell查杀一样，可以尝试搜索jsp、php、asp、aspx这几种特殊后缀文件，并尝试寻找其中的危险函数来查找webshell。

Linux入侵排查使用netstat命令查看端口连接情况，分析可疑端口、IP、PID等信息Local Address(本地地址)，查看有无重要端口被连接，如：22、3306等。 Foreign Address(外部地址)，查看有无常用IP或可疑IP连接，IP可疑使用在线危险情报平台检索，如：微步在线。 PID/Program name(PID/程序名称)，查看是否有可疑程序，如：bash可能为执行反弹shell。