一、提交攻击者IP本次应急的背景，是监控到了webshell告警，需要上机排查。因此首先需要定位web应用，再定位web日志，才能排查攻击者IP。使用命令netstat -tunlap查看网络进程，暴露面还挺大，其中web应用的进程有PID