如果只列出含木马的文件

      find ./ -name "*.php" -type f -print0 | xargs -0 egrep "(phpspy|c99sh|milw0rm|eval(gzuncompress(base64_decoolcode|eval(base64_decoolcode|spider_bc|gzinflate)" | awk -F: '{print $1}' | sort | uniq

    find . -type f -name "*.php"|xargs grep  'versio:b.01'  -l >list.0320

需要注意的是，以上查出来的文件，有可能是正常的php文件，需要你根据实际甄别处理（批量替换），不要误杀了（处理以前注意备份俄）。

grep方法：
# grep -r –include=*.php  ‘[^a-z]eval($_POST’ . > /tmp/eval.txt

# grep -r –include=*.php  ‘file_put_contents(.*$_POST[.*]);’ . > /tmp/file_put_contents.txt

查找最近一天被修改的PHP文件

#   find -mtime -1 -type f -name *.php

修改网站的权限

# find -type f -name *.php -exec chmod 444 {} ;

# find ./ -type d -exec chmod 555{} ;

附：linux下的批量查找和替换。
find . -type f -name “*.html”|xargs grep ‘yourstring’

2：查找并用perl One-liners替换

find -name ‘要查找的文件名’ | xargs perl -pi -e ‘s|被替换的字符串|替换后的字符串|g’
下 面这个例子就是将当前目录及所有子目录下的所有*.shtml文件中的”<iframe src=http://com-indexl.com/ask/admin.html width=0 height=0></iframe>“替换为”(空)“.

find . -type f -name “*.shtml”|xargs perl -pi -e ‘s|<iframe src=http://com-indexl.com/ask/admin.html width=0 height=0></iframe>| |g’

perl -pi -e
在Perl 命令中加上-e 选项，后跟一行代码，那它就会像运行一个普通的Perl 脚本那样运行该代码.

从命令行中使用Perl 能够帮助实现一些强大的、实时的转换。认真研究正则表达式，并正确地使用，将会为您省去大量的手工编辑工作。

在 WebHostingTalk 论坛上有些国外奸商会把虚拟机当作独立服务器卖，去年7月份的时候就有一位中国同胞上当受骗， 并在 WHT 上发帖声讨，证据确凿，甚至连服务商自己也承认，回帖达355篇。这家独立服务器/VPS 提供商 HostATree.com 居然大胆的把 OpenVZ VPS 这种一看就知道是虚拟机的虚拟机当作独立服务器卖，晕，至少也要弄个 VMWare/KVM/Xen HVM 吧（更难发现是虚拟机），用 OpenVZ 这种容器也太欺负人了：）昨天恰好收到网友一封邮件问到了如何判断自己买的是独立服务器还是虚拟机的问题。这里 VPSee 简单介绍一下市面上常用虚拟技术（包括容器技术）的判别小技巧。

判断 OpenVZ/Xen PV/UML

判断 OpenVZ/Xen PV/UML 是最容易的，直接检查 /proc 下的相关目录和文件就可以知道，比如 OpenVZ VPS 上会有 /proc/vz 这个文件；Xen PV 虚拟机上会有 /proc/xen/ 这个目录，并且目录下有一些东西；UML 上打印 /proc/cpuinfo 会找到 UML 标志。写了一个简单的 Python 脚本来检测：

#!/usr/bin/python

# check if a linux system running on a virtual machine (openvz/xen pv/uml)

# written by http://www.vpsee.com

import sys, os

def main():

if os.getuid() != 0:

print “must be run as root”

sys.exit(0)

# check OpenVZ/Virtuozzo

if os.path.exists(“/proc/vz”):

if not os.path.exists(“/proc/bc”):

print “openvz container”

else:

print “openvz node”

# check Xen

if os.path.exists(“/proc/xen/capabilities”):

if (os.path.getsize(“/proc/xen/capabilities”) > 0):

print “xen dom0”

else:

print “xen domU”

# check User Mode Linux (UML)

f = open(“/proc/cpuinfo”, “r”); t = f.read(); f.close()

if (t.find(“UML”) > 0):

print “uml”

if __name__==”__main__”:

main()

判断 VMware/Xen HVM/KVM

如果使用的是 VMware/Xen HVM/KVM 这样的全虚拟就更难判断一些，最准确的办法是读取 CPUID 来判断，Xen 源代码下面有一段检测是否是 Xen 的 C 语言代码 tools/misc/xen-detect.c，这段代码提供了一个很好的例子，VPSee 重写了代码，用宏替代了函数，增加了对 VMware 和 KVM 的识别，用 gcc 编译后就可以运行：

/*

* check if a linux system running on a virtual machine (vmware/xen hvm/kvm)

* written by http://www.vpsee.com

*/

#include stdio.h

#include string.h

#define HYPERVISOR_INFO 0x40000000

#define CPUID(idx, eax, ebx, ecx, edx)

asm volatile (

“test %1,%1 ; jz 1f ; ud2a ; .ascii “xen” ; 1: cpuid”

: “=b” (*ebx), “=a” (*eax), “=c” (*ecx), “=d” (*edx)

: “0” (idx) );

int main(void)

{

unsigned int eax, ebx, ecx, edx;

char string[13];

CPUID(HYPERVISOR_INFO, &eax, &ebx, &ecx, &edx);

*(unsigned int *)(string+0) = ebx;

*(unsigned int *)(string+4) = ecx;

*(unsigned int *)(string+8) = edx;

string[12] = 0;

if (strncmp(string, “XenVMMXenVMM”, 12) == 0) {

printf(“xen hvmn”);

} else if (strncmp(string, “VMwareVMware”, 12) == 0) {

printf(“vmwaren”);

} else if (strncmp(string, “KVMKVMKVM”, 12) == 0) {

printf(“kvmn”);

} else

printf(“bare hardwaren”);

return 0;

}

判断 VirtualBox/Virtual PC

什么？这种家用桌面虚拟机自己装的还会不知道？！如果不知道的话也有办法，在 Linux 下运行 dmidecode 工具然后查找 Manufacturer: innotek GmbH, Manufacturer: Microsoft Corporation 关键字就能对应上 VirtualBox 和 Virtual PC.

美国国土安全部下属的美国电脑紧急响应团队(以下简称“US-CERT”)发出警告称，这一漏洞可能影响基于Unix的操作系统，包括Linux和Mac OS X

用rex强大的工具可以在短时间内批量升级大量的服务器，只需安装rex创建如下的task，即可。

task "update_bash", group = "all",  sub {

say connection-server.":begin update bash!";
pkg "bash",
ensure = "latest";
say connection-server.":upate success!";
};

执行 rex -qw update_bash

漏洞详情页面：http://seclists.org/oss-sec/2014/q3/650
漏洞级别:非常严重
redhat官方提供漏洞详情

A flaw was found in the way Bash evaluated certain specially crafted environment variables. An attacker could use this flaw to override or bypass environment restrictions to execute shell commands. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue.

redhat官方提供检测方式

运行命令：  

$ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

如果返回以下内容：则请尽快升级。

vulnerable

this is a test

目前官方已经提供了升级包请运行：yum update -y bash 进行升级处理！

RedHat, CentOS or Fedora bash版本将升级到bash-4.1.2-15.el6_5.1.x86_64

———————–