Linux系统木马查杀
背景信息
系统安全存在漏洞或未采取足够的安全加固措施时,Linux系统可能会被植入木马程序。及时清理木马程序后,还需提高安全意识,从安全补丁加固、系统权限加固、操作审计、日志分析等多维度对系统安全进行全方位提升。
步骤一:使用云安全中心查杀木马程序
- 使用云安全中心安全告警处理,及时清理木马威胁。详细内容请参见查看和处理告警事件。
- 及时修复系统漏洞,加固系统安全。详细内容请参见Linux软件漏洞。
步骤二:查找详细的入侵痕迹
- 执行last,lastlog命令,查看最近登录的账户和登录时间,锁定异常账户。
- 执行grep -i Accepted /var/log/secure命令,查看远程登录成功的IP地址。
- 执行以下命令,查找计划任务。
/var/spool/cron/
/etc/cron.hourly
/etc/crontab- 执行find / -ctime 1通过文件状态最后修改时间来查找木马文件。
- 检查/etc/passwd和/etc/shadow文件,确认是否有可疑用户。
- 检查临时目录/tmp、/vat/tmp、/dev/shm下的文件,这些目录权限是1777,容易被上传木马文件。
- 查看端口对外的服务日志是否存在异常,例如:tomcat、nginx。
- 执行service --status-all | grep running,查看当前运行的服务中是否存在异常。
- 执行chkconfig --list | grep :on,查看自启动的服务中是否存在异常。
- 执行ls -lt /etc/init.d/ | head,查看是否有异常启动脚本。
步骤三:使用常用木马查杀命令
| 命令 | 功能 |
|---|---|
| ps,top | 查看运行的进程和进程系统资源占用情况,查找异常进程。 |
| pstree | 以树状图的形式显示进程间的关系。 |
| lsof | 查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。 |
| netstat | 查看系统监听的所有端口、网络连接情况,查找连接数过多的IP地址等信息。 |
| iftop | 监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。 |
| nethogs | 监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。 |
| strace | 追踪一个进程执行的系统调用,分析木马进程的运行情况。 |
| strings | 输出文件中可打印的字符串,可用来分析木马程序。 |
有问题可在下方留言讨论,或者邮箱联系我,邮箱地址在网站下方。
转载无需和我联系,但请注明来自木点点博客http://www.tu-do.cn/
请先登录后发表评论
- 最新评论
- 总共0条评论
最新评论