jmap安装使用

java - version 查看已安装jdk的版本
sudo apt-get install openjdk-11-jdk-headless 安装jmap
jmap -version 验证是否安装成功
jmap -dump:live,format=b,file=xxxx.hprof pid 导出jvm内存信息，pid一般为java进程id

内存信息分析

strings xxx.phrof | grep "POST" 查看有post请求的信息
strings xxx.phrof | grep "POST /xxx HTTP/1.1" -A 20 查看请求包具体详情
strings xxx.phrof | grep -E "/webapps/.*?\!" | sort -u 查找内存中web目录的可疑路径

案例分析

发现请求木马

web目录也存在木马