原创不易，欢迎大家指导、评论。

在Linux应急处理中，find命令是快速定位异常文件的关键工具。本人结合日常工作中遇到的一些实例，总结一些用法如下：

1. 查找近期被修改的文件

find / -type f -mtime -1 -exec ls -l {} \; 2>/dev/null

解释：查找24小时内修改过的文件。

参数简要说明：

/：从根目录开始搜索。

-type f：仅搜索文件（排除目录）。

-mtime -1：修改时间在1天内。

-exec ls -l {} \;：找到文件，执行ls -l查看文件详细信息。

2>/dev/null：将错误输出丢到“黑洞”里。

应急场景：排查1天内变动文件，便于后面逐个排查。

2. 查找SUID/SGID提权文件

find / -perm /4000 -o -perm /2000 -type f 2>/dev/null

解释：查找具有SUID（4000）或SGID（2000）权限的文件。

参数简要说明：

-perm /4000：匹配SUID权限（用户执行时继承所有者权限）。

-perm /2000：匹配SGID权限（继承所属组权限）。

应急场景：异常SUID文件（如/bin/bash被设置SUID）可能用于提权攻击。

稍稍综合一下：

find / -type f -perm /4000 -mtime -1 2>/dev/null

查找24小时内修改的SUID文件

3. 查找Web目录中的可疑PHP文件

find /var/www/html -name "*.php" -exec grep -l "eval(base64_decode" {} \; 2>/dev/null

解释：在Web目录中搜索包含可疑代码的PHP文件（如Webshell）。

参数简要说明：

-name "*.php"：匹配PHP文件。

-exec grep -l "..." {} \;：查找包含eval(base64_decode等危险函数的内容。

应急场景：检测被上传的Webshell或代码注入。

4. 查找无属主/属组的文件

find / -nouser -o -nogroup 2>/dev/null

解释：查找所有者/组不存在的文件（可能由已删除账户遗留）。

参数简要说明：

-nouser：无有效属主。

-nogroup：无有效属组。

应急场景：入侵后可能会残留文件或未清理的临时文件。

5. 查找全局可写文件（危险权限）

find / -perm -o=w -type f ! -path "/proc/*" ! -path "/sys/*" 2>/dev/null

解释：查找所有用户可写的文件（如文件权限设置成777）。

参数简要说明：

-perm -o=w：其他用户（others）有写权限。

! -path "/proc/*"：排除/proc和/sys伪文件系统。

应急场景：攻击者可能篡改此类文件植入恶意代码。

6. 排除目录并查找日志文件

find / -type f -name "*.log" -not -path "/var/log/*" 2>/dev/null

解释：查找非/var/log目录下的日志文件。

应急场景：攻击者可能将日志转移到非常规路径以隐藏行踪。

7. 计算可疑文件的哈希值

find /tmp -type f -name "*.sh" -exec md5sum {} \; 2>/dev/null

解释：对/tmp目录下的.sh文件计算MD5哈希。

应急场景：收集样本哈希，用于比对威胁情报。

8.查找日志文件中近期的SSH登录失败记录

find /var/log -type f -name "secure*" -exec grep "Failed password" {} \; | awk '{print $11}' | sort | uniq -c

解释：统计SSH暴力破解的源IP及次数。

参数简要说明：

/var/log/secure*日志中的失败登录记录。

awk $11用于提取IP，sort | uniq -c统计重复项。

应急场景：识别攻击来源IP。

9.查找异常的符号链接（如指向/dev或敏感目录）

find / -type l -exec ls -l {} \; 2>/dev/null | grep -E "/dev|/proc|/sys"

解释：检测指向/dev、/proc或/sys的符号链接。

应急场景：攻击者可能通过符号链接绕过文件监控。譬如将/var/www/html/uploads -> /etc/passwd用于窃取密码文件。

写在最后

大家通过组合参数，开拓想象，可快速缩小排查范围，提升应急响应效率。

以上皆为抛砖引玉，欢迎朋友们分享自己在应急处理中找到蛛丝马迹的办法。