Linux 木马清除过程

本贴最后更新于 1979 天前,其中的信息可能已经事过境迁
首先啰嗦一下,关于linux主机,高危端口真得万万不能全网开放。看了日志后,发现黑客真是时时刻刻在爆破。

关于 linux 入侵的排查思路,总结如下:

  1. 查看异常进程活动-查找是否有异常进程和端口占用
    1. 查找占用 cpu 最多的进程,相关命令:运行 top 命令后,键入大写字母 P 按 cpu 排序;
    2. 查找占用内存最多的进程,相关命令:运行 top 命令后,键入大写字母 M
      ps aux | sort -k4nr
      
    3. 查找进程文件:
      ls -la /proc/$pid/exe
      
    4. 跟踪异常进程运行情况:
      strace -tt -T -e trace=all -p $pid
      
    5. 查看进程打开的文件
      lsof -p $pid
      
    6. 查看进程端口情况
      netstat -anltp | grep $pid
      
  2. 查看账号安全
    1. 查看是否有存在新增异常账号:
      a.查找特权用户
      awk -F ":" '$3==0{print $1}' /etc/passwd
      b.查找可以远程登录的账号信息
      awk '/\$1|\$6/{print $1}' /etc/shadow
      c.查找sudo权限账户
      cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"
      
    2. 查看是否有账号异常登录情况:
      a.查看当前登录用户和其行为
      w
      b.查看所有用户最后一次登录的时间
      lastlog
      c.查看所有用户的登录注销信息及系统的启动、重启及关机事件
      last
      d.查看登录成功的日期、用户名及ip
      grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
      e.查看试图爆破主机的ip
      grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | moregrep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c 
      f.查看有哪些ip在爆破主机的root账号
      grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort
      g.查看爆破用户名字典   
      grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr
      
  3. 查找异常文件
    1. 查找 cron 文件中是否存在恶意脚本
      /var/spool/cron/*/etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*
      
    2. 查看最近一段时间内被修改的系统文件
      find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -T | xargs ls -la
      
    3. 按时间排序,确认最近是否有命令被替换,可以结合 rpm -Va 命令
      ls -alt /usr/bin /usr/sbin /bin /usr/local/binrpm -Va>rpm.log
      
    4. 确认是否有异常开机启动项
      cat /etc/rc.localchkconfig --list
      
  4. 借助工具查杀病毒和 rootkit
    1. 查杀 rootkit
      chkrootkit (下载地址-http://www.chkrootkit.org)rkhunter (下载地址-http://rkhunter.sourceforge.net)
      
    2. 查杀病毒
      clamav(下载地址-http://www.clamav.net/download.html)  
      
    3. 查杀 webshell
      cloudwalker(下载地址-http://github.com/chaitin/cloudwalker)
      
打赏 1 积分后可见
1 积分 • 5 打赏
  • Linux

    Linux 是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 Unix 的多用户、多任务、支持多线程和多 CPU 的操作系统。它能运行主要的 Unix 工具软件、应用程序和网络协议,并支持 32 位和 64 位硬件。Linux 继承了 Unix 以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。

    946 引用 • 943 回帖
  • 木马
    3 引用 • 4 回帖
  • 安全

    安全永远都不是一个小问题。

    200 引用 • 816 回帖
  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    149 引用 • 257 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • 数据库

    据说 99% 的性能瓶颈都在数据库。

    343 引用 • 723 回帖
  • Bug

    Bug 本意是指臭虫、缺陷、损坏、犯贫、窃听器、小虫等。现在人们把在程序中一些缺陷或问题统称为 bug(漏洞)。

    76 引用 • 1737 回帖 • 1 关注
  • jsoup

    jsoup 是一款 Java 的 HTML 解析器,可直接解析某个 URL 地址、HTML 文本内容。它提供了一套非常省力的 API,可通过 DOM,CSS 以及类似于 jQuery 的操作方法来取出和操作数据。

    6 引用 • 1 回帖 • 483 关注
  • WebSocket

    WebSocket 是 HTML5 中定义的一种新协议,它实现了浏览器与服务器之间的全双工通信(full-duplex)。

    48 引用 • 206 回帖 • 317 关注
  • danl
    146 关注
  • GitBook

    GitBook 使您的团队可以轻松编写和维护高质量的文档。 分享知识,提高团队的工作效率,让用户满意。

    3 引用 • 8 回帖
  • SVN

    SVN 是 Subversion 的简称,是一个开放源代码的版本控制系统,相较于 RCS、CVS,它采用了分支管理系统,它的设计目标就是取代 CVS。

    29 引用 • 98 回帖 • 694 关注
  • 自由行
    4 关注
  • Git

    Git 是 Linux Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。

    209 引用 • 358 回帖
  • Ant-Design

    Ant Design 是服务于企业级产品的设计体系,基于确定和自然的设计价值观上的模块化解决方案,让设计者和开发者专注于更好的用户体验。

    17 引用 • 23 回帖 • 4 关注
  • 安装

    你若安好,便是晴天。

    132 引用 • 1184 回帖 • 1 关注
  • Gzip

    gzip (GNU zip)是 GNU 自由软件的文件压缩程序。我们在 Linux 中经常会用到后缀为 .gz 的文件,它们就是 Gzip 格式的。现今已经成为互联网上使用非常普遍的一种数据压缩格式,或者说一种文件格式。

    9 引用 • 12 回帖 • 147 关注
  • Kubernetes

    Kubernetes 是 Google 开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。

    110 引用 • 54 回帖 • 1 关注
  • 反馈

    Communication channel for makers and users.

    123 引用 • 913 回帖 • 250 关注
  • Latke

    Latke 是一款以 JSON 为主的 Java Web 框架。

    71 引用 • 535 回帖 • 789 关注
  • 宕机

    宕机,多指一些网站、游戏、网络应用等服务器一种区别于正常运行的状态,也叫“Down 机”、“当机”或“死机”。宕机状态不仅仅是指服务器“挂掉了”、“死机了”状态,也包括服务器假死、停用、关闭等一些原因而导致出现的不能够正常运行的状态。

    13 引用 • 82 回帖 • 60 关注
  • Flume

    Flume 是一套分布式的、可靠的,可用于有效地收集、聚合和搬运大量日志数据的服务架构。

    9 引用 • 6 回帖 • 637 关注
  • Markdown

    Markdown 是一种轻量级标记语言,用户可使用纯文本编辑器来排版文档,最终通过 Markdown 引擎将文档转换为所需格式(比如 HTML、PDF 等)。

    167 引用 • 1520 回帖
  • 开源中国

    开源中国是目前中国最大的开源技术社区。传播开源的理念,推广开源项目,为 IT 开发者提供了一个发现、使用、并交流开源技术的平台。目前开源中国社区已收录超过两万款开源软件。

    7 引用 • 86 回帖
  • RIP

    愿逝者安息!

    8 引用 • 92 回帖 • 363 关注
  • 开源

    Open Source, Open Mind, Open Sight, Open Future!

    407 引用 • 3578 回帖
  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    149 引用 • 257 回帖
  • FreeMarker

    FreeMarker 是一款好用且功能强大的 Java 模版引擎。

    23 引用 • 20 回帖 • 465 关注
  • FlowUs

    FlowUs.息流 个人及团队的新一代生产力工具。

    让复杂的信息管理更轻松、自由、充满创意。

    1 引用
  • Log4j

    Log4j 是 Apache 开源的一款使用广泛的 Java 日志组件。

    20 引用 • 18 回帖 • 29 关注
  • Openfire

    Openfire 是开源的、基于可拓展通讯和表示协议 (XMPP)、采用 Java 编程语言开发的实时协作服务器。Openfire 的效率很高,单台服务器可支持上万并发用户。

    6 引用 • 7 回帖 • 101 关注
  • ActiveMQ

    ActiveMQ 是 Apache 旗下的一款开源消息总线系统,它完整实现了 JMS 规范,是一个企业级的消息中间件。

    19 引用 • 13 回帖 • 668 关注