Tag: 病毒文件

背景信息系统安全存在漏洞或未采取足够的安全加固措施时，Linux系统可能会被植入木马程序。及时清理木马程序后，还需提高安全意识，从安全补丁加固、系统权限加固、操作审计、日志分析等多维度对系统安全进行全方位提升。 一、查找详细的入侵痕迹执行last,lastlog命令，查看最近登录的账户和登录时间，锁定异常账户。执行grep -i Accepted /var/log/secure命令，查看远程登录成功的IP地址。执行以下命令，查找计划任务。cat /var/spool/cron/cat /etc/cron.hourlycat /etc/crontab执行find / -ctime 1通过文件状态最后修改时间来查找木马文件。检查/etc/passwd和/etc/shadow文件，确认是否有可疑用户。检查临时目录/tmp、/vat/tmp、/dev/shm下的文件，这些目录权限是1777，容易被上传木马文件。查看端口对外的服务日志是否存在异常，例如：tomcat、nginx。执行service –status-all | grep running，查看当前运行的服务中是否存在异常。执行chkconfig –list | grep :on，查看自启动的服务中是否存在异常。执行ls -lt /etc/init.d/ | head，查看是否有异常启动脚本。 二、使用常用木马查杀命令命令 功能ps，top 查看运行的进程和进程系统资源占用情况，查找异常进程。pstree 以树状图的形式显示进程间的关系。lsof 查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。netstat 查看系统监听的所有端口、网络连接情况，查找连接数过多的IP地址等信息。iftop 监控TCP连接实时网络流量，可分别分析出入流量并进行排序，查找出流量异常的IP地址。nethogs 监控每个进程使用的网络流量，并从高到低排序，方便查找出流量异常的进程。strace 追踪一个进程执行的系统调用，分析木马进程的运行情况。strings 输出文件中可打印的字符串，可用来分析木马程序。