遇到Linux病毒别慌,掌握这些能力就能轻松搞定

如果Linux中病毒怎么办?甚至你都不知道已经中病毒!这可是个棘手的事情,它可不像Windows那么好处理,本文针对这个问题分享一下我的经验。

根据病毒特征,一般按这四个步骤进行处理:侦别→清除→复盘→加固。

0x01 侦别

通过以下命令查看是否有异常进程:

# 查看系统运行情况
top
# 枚举正运行的进程
ps -aux

如果察觉出源IP异常,可通过以下命令追踪进程:

while true; do netstat -antp | grep <pid>; done

接下来检查主机历史命令,根据这些命令可以判断黑客的目的和受影响范围,当然不能排除部分黑客及时清理了历史记录:

history

附加知识:给history命令添加登录IP、执行时间等,修改/etc/profile

# 修改
HISTSIZE=5000

# 新增
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"

0x02 清除

首先结束进程:

ps -elf | grep -v grep | grep <pid>
kill -9 <pid>

然后定位病毒文件并删除:

ls -al /proc/<pid>/exe
rm -f <exe_file>

0x03 复盘

对于一些持久型攻击,黑客一般会在系统部署定时任务或者守护脚本,因此,当我们执行第2步后,竟然发现病毒又出现了,这时候,我们应该先清理守护进程和定时任务。

# 通过以下命令查看定时任务
crontab -l
cat /etc/rc.local

# 通过以下命令枚举系统服务
service --status-all

# 检查系统文件是否被劫持(3天内被修改过的文件)
find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +3 | xargs ls -la

# 检查病毒是否有守护程序
lsof -p <pid>
strace -tt -T -f -e trace=all -p <pid>

通过以上方法找到病毒及其附属文件,一概清除。

0x04 加固

清除病毒后,建议安装杀毒软件进行全面扫描,比如ClamAV等,然后加固系统基线、打漏洞补丁等。

原创文章禁止转载:技术学堂 » 遇到Linux病毒别慌,掌握这些能力就能轻松搞定

精彩评论

7+5=

感谢您的支持与鼓励

支付宝扫一扫打赏

微信扫一扫打赏