Ubuntu 如何在给定md5哈希时查找特定文件
我们的服务器已经被标记为僵尸网络的一部分,并且我们已经得到了假定为坏文件的md5散列值 我读过的所有例子和建议都不太符合我的需要。我所要寻找的就是如何根据我们得到的md5散列找到这个特定的文件Ubuntu 如何在给定md5哈希时查找特定文件,ubuntu,Ubuntu,我们的服务器已经被标记为僵尸网络的一部分,并且我们已经得到了假定为坏文件的md5散列值 我读过的所有例子和建议都不太符合我的需要。我所要寻找的就是如何根据我们得到的md5散列找到这个特定的文件 我是否需要为计算机上的每个文件生成一个md5哈希,然后进行比较,还是有更简单的方法来搜索?如果没有,我将如何进行此操作?您可以使用查找 find /var/www -type f -exec md5sum {} + | grep '^md5sum_given' 将/var/www替换为要扫描的目录,也可
我是否需要为计算机上的每个文件生成一个md5哈希,然后进行比较,还是有更简单的方法来搜索?如果没有,我将如何进行此操作?您可以使用
查找
find /var/www -type f -exec md5sum {} + | grep '^md5sum_given'
将/var/www
替换为要扫描的目录,也可以使用/
扫描根目录,但这可能会耗费大量时间和资源,具体取决于您的系统。如果您可以在线找到某个数据库,其中MD5哈希映射到恶意软件的潜在文件名,则可以减少搜索空间。否则,可以,如果您只有MD5,则必须对每个文件进行散列并比较散列值。从最有可能被感染的文件/目录开始。查找md5 hash@Hanno Binder是一个好主意,不幸的是,它似乎没有在任何地方列出。这太糟糕了,我真的很想这样做(太糟糕了:)-不过,您可能可以跳过对纯数据文件的哈希,比如MySQL数据库&c。然后,在第一步中,您还可以跳过在获得MD5哈希之后修改的所有文件。如果在生成散列后仅在单个位中更改了文件,则散列本身将不同。然而,这两种方法都是启发式的,因此为了真正安全,您必须扫描整个系统,以避免丢失一些巧妙伪装的可执行代码。顺便说一句,我觉得一个机构只提供一个简单的MD5而没有进一步的元数据有点奇怪。多年前,编写一个自我修改程序以避免被恶意软件扫描仪等检测到是很常见的。那些探测公司的人应该会帮上点忙,伊姆霍。谢谢彭尼维斯,我正在尝试一下。这可能需要很长时间,因为我们没有办法缩小范围,我们将不得不搜索所有内容。希望这能为我们找到它