技术学堂
如果Linux中病毒怎么办?甚至你都不知道已经中病毒!这可是个棘手的事情,它可不像Windows那么好处理,本文针对这个问题分享一下我的经验。
根据病毒特征,一般按这四个步骤进行处理:侦别→清除→复盘→加固。
0x01 侦别
通过以下命令查看是否有异常进程:
|
1 2 3 4 |
# 查看系统运行情况 top # 枚举正运行的进程 ps -aux |
如果察觉出源IP异常,可通过以下命令追踪进程:
|
1 |
while true; do netstat -antp | grep 进程号; done |
接下来检查主机历史命令,根据这些命令可以判断黑客的目的和受影响范围,当然不能排除部分黑客及时清理了历史记录,附加知识:给history命令添加登录IP、执行时间等,编辑/etc/profile。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
# 修改 HISTSIZE=5000 # 新增 USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` if [ "$USER_IP" = "" ] then USER_IP=`hostname` fi export HISTTIMEFORMAT="%F %T $USER_IP `whoami` " shopt -s histappend export PROMPT_COMMAND="history -a" |
0x02 清除
首先结束进程:
|
1 2 |
ps -elf | grep -v grep | grep 进程号 kill -9 进程号 |
然后定位病毒文件并删除:
|
1 2 |
ls -al /proc/进程号/exe rm -f 对应进程号占用的文件 |
0x03 复盘
对于一些持久型攻击,黑客一般会在系统部署定时任务或者守护脚本,因此,当我们执行第2步后,竟然发现病毒又出现了,这时候,我们应该先清理守护进程和定时任务。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# 通过以下命令查看定时任务 crontab -l cat /etc/rc.local # 通过以下命令枚举系统服务 service --status-all # 检查系统文件是否被劫持(3天内被修改过的文件) find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +3 | xargs ls -la # 检查病毒是否有守护程序 lsof -p 进程号 strace -tt -T -f -e trace=all -p 进程号 |
通过以上方法找到病毒及其附属文件,一概清除。
0x04 加固
清除病毒后,建议安装杀毒软件进行全面扫描,比如ClamAV等,然后加固系统基线、打漏洞补丁等。
原创文章禁止转载:技术学堂 » 遇到Linux病毒别慌,掌握这些能力就能轻松搞定
