Linux系統處理木馬病毒的思路
阿新 • • 發佈:2019-01-01
一、清除木馬程式步驟
1.1 執行命令,每1秒重新整理一次,顯示整個命令路徑,而不是命令的名稱。
[[email protected] ~]# top -d 1 -c
1.2 查詢可疑程序(比較奇怪的程序名稱)如:sshz、crond.conf、.sshd等
1.3 發現可疑程序後,記錄PID,然後執行如下命令
[[email protected] ~]# kill -STOP PID #停止程序,先不要殺掉程序(有可能殺掉之後,木馬守護程式會重新開啟一個新的木馬程序) [[email protected]-node1 ~]# ls-l /proc/PID #檢視exe對應的指令碼路徑 例如: [[email protected]-node1 ~]# ls -l /proc/2773 #可以看到病毒程式在/usr/bin/python2.7(圖片保是舉例)
1.4 刪除/usr/bin/python2.7此檔案。
若某些檔案無法直接刪除時,使用chattr命令
[[email protected] ~]# lsattr filename [[email protected]-node1 ~]# chattr -aij filename
1.5 檢視crontab有無定時任務
[[email protected] ~]# crontab -l [[email protected]-node1 ~]# crontab -e [[email protected]-node1 ~]# vim /etc/crontab
1.6 檢視/tmp特殊目錄下有沒有可執行程式
[[email protected] ~]# ls -l /tmp/
1.7 檢測ps、netstat、ss、lsof命令是否替換。正常的檔案大小不會超過1MB,如下按時間排序,重新關注前幾行。
[[email protected] ~]# ls-lht /etc/init.d/ [[email protected]-node1 ~]# ls -lht /bin/ [[email protected]-node1 ~]# ls -lht /sbin/ [[email protected]-node1 ~]# ls -lht /usr/bin [[email protected]-node1 ~]# ls -lht /usr/sbin
1.8 執行lsof看看有無可疑的程序名
[[email protected] ~]# lsof
二、原因分析
2.1 弱口令登入
#過濾出成功登入系統的使用者名稱和IP地址,分析IP是否可疑,如有國外IP登入,或者IP不是常駐地,比較可疑。 [[email protected]-node1 ~]# cat /var/log/secure* | grep sshd | grep Acc | awk '{print $9,$11}' #過濾可疑IP地址的登入時間 [[email protected]-node1 ~]# cat /var/log/secure* | grep sshd | grep 1.1.1.1
三、安全加固方法
3.1 使用較為複雜的密碼
使用隨機密碼生成器生成密碼至少12位,然後自己再修改三位密碼。
3.2 埠控制:
禁止不必要埠暴露在公網上,一般只保留80和443埠,修改ssh預設埠,配置防火牆策略,增加IP白名單等
3.3 許可權控制:
嚴格控制各服務的系統許可權,各服務不要以root許可權執行,各應用和資料庫互動的帳號不要使用root許可權的帳戶
3.4 檢視應用:
檢查WEB應用及相關配置是否存在安全風險(檢查SQL注入、XSS等漏洞)
3.5 重灌系統:
若系統被植入大量的木馬則會對系統穩定性造成影響,建議備份資料後重裝系統,並在上線前進行安全檢查。