linux查杀web后门webshell

1.新建空目录用于存放搜索出来的web文件.
mkdir /usr/test

2.将常见webshell后缀的文件搜索出来拷贝进/usr/test

find / -regex '.*\.php\|.*\.asp\|.*\.aspx\|.*\.jsp\|.*\.jspx\|.*\.asa' -exec cp '{}' /usr/test ';' 2>/dev/null

或者

find /web目录 -regex '.*\.php\|.*\.asp\|.*\.aspx\|.*\.jsp\|.*\.jspx\|.*\.asa' -exec cp '{}' /usr/test ';' 2>/dev/null

3.用SCP工具连linux，把/usr/test目录中的脚本文件复制到自己终端

4.linux中删除建立的/usr/test目录
rm -rf /usr/test

5.用d盾扫描拷贝出来的脚本文件是否有webshell（搜索引擎搜索D盾即可下载）

6.使用find / -name test.jsp定位test.jsp web后门的路径

7.删除webshell 

rm -f /usr/test/test.jsp