技术学堂
如果Linux中病毒怎么办?甚至你都不知道已经中病毒!这可是个棘手的事情,它可不像Windows那么好处理,本文针对这个问题分享一下我的经验。
根据病毒特征,一般按这四个步骤进行处理:侦别→清除→复盘→加固。
0x01 侦别
通过以下命令查看是否有异常进程:
# 查看系统运行情况 top # 枚举正运行的进程 ps -aux
如果察觉出源IP异常,可通过以下命令追踪进程:
while true; do netstat -antp | grep <pid>; done
接下来检查主机历史命令,根据这些命令可以判断黑客的目的和受影响范围,当然不能排除部分黑客及时清理了历史记录:
history
附加知识:给history命令添加登录IP、执行时间等,修改/etc/profile。
# 修改
HISTSIZE=5000
# 新增
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
0x02 清除
首先结束进程:
ps -elf | grep -v grep | grep <pid> kill -9 <pid>
然后定位病毒文件并删除:
ls -al /proc/<pid>/exe rm -f <exe_file>
0x03 复盘
对于一些持久型攻击,黑客一般会在系统部署定时任务或者守护脚本,因此,当我们执行第2步后,竟然发现病毒又出现了,这时候,我们应该先清理守护进程和定时任务。
# 通过以下命令查看定时任务 crontab -l cat /etc/rc.local # 通过以下命令枚举系统服务 service --status-all # 检查系统文件是否被劫持(3天内被修改过的文件) find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +3 | xargs ls -la # 检查病毒是否有守护程序 lsof -p <pid> strace -tt -T -f -e trace=all -p <pid>
通过以上方法找到病毒及其附属文件,一概清除。
0x04 加固
清除病毒后,建议安装杀毒软件进行全面扫描,比如ClamAV等,然后加固系统基线、打漏洞补丁等。
原创文章禁止转载:技术学堂 » 遇到Linux病毒别慌,掌握这些能力就能轻松搞定
