一、清除木馬程式步驟

1.1 執行命令，每1秒重新整理一次，顯示整個命令路徑，而不是命令的名稱。

[[email protected] ~]# top -d 1 -c

1.2 查詢可疑程序（比較奇怪的程序名稱）如：sshz、crond.conf、.sshd等

1.3 發現可疑程序後，記錄PID，然後執行如下命令

[[email protected] ~]# kill -STOP PID       #停止程序，先不要殺掉程序（有可能殺掉之後，木馬守護程式會重新開啟一個新的木馬程序）
[[email protected]-node1 ~]# ls
 
 -l /proc/PID      #檢視exe對應的指令碼路徑
例如：
[[email protected]-node1 ~]# ls -l /proc/2773     #可以看到病毒程式在/usr/bin/python2.7（圖片保是舉例）

1.4 刪除/usr/bin/python2.7此檔案。

　　若某些檔案無法直接刪除時，使用chattr命令

[[email protected] ~]# lsattr filename
[[email protected]-node1 ~]# chattr -aij filename

1.5 檢視crontab有無定時任務

[[email protected] ~]# crontab -l
[[email protected]-node1 ~]# crontab -e
[[email protected]-node1 ~]# vim /etc/crontab 

1.6 檢視/tmp特殊目錄下有沒有可執行程式

[[email protected] ~]# ls -l /tmp/

1.7 檢測ps、netstat、ss、lsof命令是否替換。正常的檔案大小不會超過1MB，如下按時間排序，重新關注前幾行。

[[email protected] ~]# ls
 
 -lht  /etc/init.d/
[[email protected]-node1 ~]# ls -lht /bin/
[[email protected]-node1 ~]# ls -lht /sbin/
[[email protected]-node1 ~]# ls -lht /usr/bin
[[email protected]-node1 ~]# ls -lht /usr/sbin

1.8 執行lsof看看有無可疑的程序名

[[email protected] ~]# lsof

二、原因分析

2.1 弱口令登入

#過濾出成功登入系統的使用者名稱和IP地址，分析IP是否可疑，如有國外IP登入，或者IP不是常駐地，比較可疑。
[[email protected]-node1 ~]# cat /var/log/secure* | grep sshd | grep Acc | awk '{print $9,$11}' 

#過濾可疑IP地址的登入時間
[[email protected]-node1 ~]# cat /var/log/secure* | grep sshd | grep 1.1.1.1

三、安全加固方法

3.1 使用較為複雜的密碼

　　使用隨機密碼生成器生成密碼至少12位，然後自己再修改三位密碼。

3.2 埠控制：

　　禁止不必要埠暴露在公網上，一般只保留80和443埠，修改ssh預設埠，配置防火牆策略，增加IP白名單等

3.3 許可權控制：

　　嚴格控制各服務的系統許可權，各服務不要以root許可權執行，各應用和資料庫互動的帳號不要使用root許可權的帳戶

3.4 檢視應用：

　　檢查WEB應用及相關配置是否存在安全風險（檢查SQL注入、XSS等漏洞）

3.5 重灌系統：

　　若系統被植入大量的木馬則會對系統穩定性造成影響，建議備份資料後重裝系統，並在上線前進行安全檢查。