서버 해킹 시 점검(찾은 방법 웹쉘에 보통 패스워드 입력 부분이 있음)

찾은 방법  웹쉘에 보통 패스워드 입력 부분이 있음을 알고

find ./ -name "*.php" |  xargs  grep pass > ch.txt
으로 pass 또는 passwd password  키워드들을 수집

find ./ -user nobody | grep .php > nobody.txt
nobody  권한파일 php 파일 수집


[root@localhost public_html]# find ./ -user root | grep .php | more
root 권한 파일 수집

./kan/img/event/mail/20080901/kantukan_go_0901.php
./config.php
./phpinfo.php
./ybbs/admin/admin_member_list2.pdh.php
./ybbs/shop/control.php
./ybbs/shop/ksidc.php
./ybbs/pdh/test8.kang.php
./info.php
./account/lib/index.php


에서 나온 파일 들을 분석 하여 탐지