Linux病毒和木馬防護(hù)wmv視頻教程

入侵排查 

（1）首先我們要做的就是恢復(fù)一些我們常用的用來排查的工具，比如，ls，ps,netstat,lsof等命令。

/root/chattr -i -a /bin/ps && rm /bin/ps -f    #刪除這些可能被感染的命令，比如ps，ls,netstat，lsof，top等�？梢酝ㄟ^ls -lh /bin/ps 查看這些命令的大小和正常程序是否一致

接下來可以找一個(gè)相同操作系統(tǒng)的的ps，ls, netstat，lsof命令，將這些命令復(fù)制到被感染的系統(tǒng)中，臨時(shí)使用。 

（2）其次我們需要對(duì)系統(tǒng)做一個(gè)全面檢查

a.檢查系統(tǒng)日志 

檢查系統(tǒng)錯(cuò)誤登陸日志，統(tǒng)計(jì)IP重試次數(shù)（last命令是查看系統(tǒng)登陸日志，比如系統(tǒng)被reboot或登陸情況） 

注：此時(shí)last命令也有可能變得不可靠，需要檢查

b.檢查系統(tǒng)用戶

查看是否有異常的系統(tǒng)用戶 

[root@bastion-IDC ~]# cat /etc/passwd

查看是否產(chǎn)生了新用戶，UID和GID為0的用戶 

[root@bastion-IDC ~]# grep “0” /etc/passwd

查看passwd的修改時(shí)間，判斷是否在不知的情況下添加用戶 

[root@bastion-IDC ~]# ls -l /etc/passwd

查看是否存在特權(quán)用戶 

[root@bastion ~]# awk -F: ‘3==0 {print3==0 {print1}’ /etc/passwd

查看是否存在空口令帳戶 

[root@bastion ~]# awk -F: ‘length(2)==0 {print2)==0 {print1}’ /etc/shadow

c.檢查異常進(jìn)程

top  #仔細(xì)檢查異常進(jìn)程pid

ls -l /proc/pid/exe 查看異常進(jìn)程命令所在地

kill -9 970  #殺掉這個(gè)進(jìn)程之后發(fā)現(xiàn)根本不管用，春風(fēng)吹又生，又從/usr/bin/轉(zhuǎn)移到/bin，再又轉(zhuǎn)移到/tmp.這個(gè)時(shí)候必須注意倒病毒后臺(tái)有監(jiān)控進(jìn)程，進(jìn)程死掉了之后，立馬又重新起來一個(gè)新的進(jìn)程。

3、更多異常文件的發(fā)現(xiàn)

（1）查看定時(shí)任務(wù)文件crontab -l 并沒有發(fā)現(xiàn)什么一次，查看/etc/crontab發(fā)現(xiàn)異常腳本gcc.sh。 

（2）然后查看系統(tǒng)啟動(dòng)文件rc.local然后進(jìn)入/etc/init.d目錄查看，發(fā)現(xiàn)比較奇怪的腳本文件DbSecuritySpt、selinux。 

第一個(gè)文件可以看出他就是開機(jī)啟動(dòng)那個(gè)異常文件的，第二個(gè)應(yīng)該和登錄有關(guān)，具體我還不是很清楚，反正肯定是有問題的。 

既然和登錄有關(guān)，那就找和ssh相關(guān)的，找到了下面的一個(gè)文件，是隱藏文件，這個(gè)也是木馬文件，我們先記錄下來，這樣程序名字都和我們的服務(wù)名字很相近，就是為了迷惑我們，他們的大小都是1.2M，他們有可能是一個(gè)文件。 

我有看了一下木馬喜歡出現(xiàn)的目錄/tmp，也發(fā)現(xiàn)了異常文件，從名字上感覺好像是監(jiān)控木馬程序的。