所以我在我的网站目录深处找到了一个 shell。我的网站没有上传部分,我使用一个众所周知的框架,它涵盖了 sql 注入(我使用 codeigniter active record 来处理数据库),所以我不认为这是代码本身的问题
我的资产文件夹中有一个 ckeditor/ckfinder,我认为黑客已经使用它们在我的服务器上上传了 shell
为了确保该文件来自哪里,我需要知道它的历史记录...主要是该文件被上传到的第一个目录,或许还有该文件的原始名称。
有什么方法可以找到有关文件的信息吗?
答案1
除非您已经在服务器上设置了一些审计,否则您无法获取该信息,因为 CentOS 在默认安装中不提供任何此类信息。
但是,文件的所有权及其修改或 inode 更改时间可能会为您提供有关入侵发生时间的一些线索,并且可能为您提供更深入调查的起点,例如 Web 服务器日志或系统日志(/var/log/messages 等)。