Linux下的木馬通常是惡意者通過Web的上傳目錄的方式來上傳木馬到Linux伺服器,為做防護,我們可根據從惡意者訪問網站開始-->Linux系統-->HTTP服務-->中間件服務-->程序代碼-->DB-->存儲,逐一設卡防護。
1.開發程序代碼對上傳文件類型做限制,例如不能上傳.php程序。
2.對上傳的內容進行檢測,檢測方式可通過程序、Web服務層、資料庫等層面控制。
3.控制上傳目錄的許可權以及非站點目錄的許可權。
4.傳上木馬文件後的訪問和執行控制。
5.對重要配置文件、命令和WEB配置等文件做md5指紋及備份。
6.安裝殺毒軟體,定期監測查殺木馬。
7.配置伺服器防火牆及入侵檢測服務。
8.監控伺服器文件變更、進程變化、埠變化、重要安全日誌並及時報警。
2. linux伺服器中木馬怎麼處理
以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法:
一、Web Server(以Nginx為例)
1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程序池達到隔離效果)
2、上傳目錄、include類的庫文件目錄要禁止代碼執行(Nginx正則過濾)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server,隱藏Server信息
5、打開相關級別的日誌,追蹤可疑請求,請求者IP等相關信息。
二.改變目錄和文件屬性,禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註:當然要排除上傳目錄、緩存目錄等;
同時最好禁止chmod函數,攻擊者可通過chmod來修改文件只讀屬性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危險函數:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL資料庫賬號安全:
禁止mysql用戶外部鏈接,程序不要使用root賬號,最好單獨建立一個有限許可權的賬號專門用於Web程序。
五.查殺木馬、後門
grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件,下載下來慢慢分析,其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找,上傳圖片肯定有也捆綁的,來次大清洗。
查找近2天被修改過的文件:
find -mtime -2 -type f -name \*.php
注意:攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找,所以touch必須禁止
六.及時給Linux系統和Web程序打補丁,堵上漏洞
3. unix.trojan.agent linux怎麼清除木馬
清除木馬必須是需要殺毒軟體 一般木馬中毒都是通過下載軟體,瀏覽未知網頁Trojan一詞的特洛伊木馬本意是特洛伊的,指特洛伊木馬,是木馬計的故事木馬會盜取你的賬號,信息等資料如果電腦中了木馬建議盡快殺毒以免造成系統問題可以先做一次全盤殺...
4. Linux centos 6.5 異常進程與木馬查殺
都說Linux主機是非常安全的,但有時卻不見得,第二次碰上Linux中木馬了(我運氣這么好?)。
廢話不多說,直接進入主題。
一、狀況描述:
1、2017.06.19早上過來發現ssh連接不上,以及各個官網都訪問不了;
2、通過雲主機廠商後台登錄,發現nginx、tomcat、svn應用全部停止;
3、ping www.google.com (雲主機在US) 不通;
二、問題定位:
應該是雲主機被重啟了,同時斷開了外網(有些應用沒有設置為自啟動),於是重啟公網的網卡後,ssh就可以登錄了,手工啟動了nginx、
omcat、svn等應用,因為上次也發生過幾次這樣的情況,據雲廠商反饋,雲主機對外發送大量的網路包,導致流量巨大,具體在Linux主機上的
體現就是cpu一直100%左右撐死,於是我懷疑是不是這次也是對外發送巨大的流量包,導致雲主機廠商斷了主機的外網呢?通過top命令查看
進程發現並沒有cpu佔用過高的進程,就ifconfig 查看了下網卡情況,顯示網卡流量在2.4G左右(由於是事後了,沒有截到先前的圖),感覺很迅
速,於是我就又斷開了一次,就沒管了,到中午午休後,下午再次使用ifconfig,此時流量對外發送大量的流量包,累計流量竟然高達140G左右
(後面處理了,就累加了一點):
這情況顯示,肯定是中木馬,由於Linux主機上面沒有安裝一些關於流量分析的軟體,只從常用的top命令開始,發現並沒有cpu佔用很高的進程,
但發現有兩個從來沒見過的進程:MuYuHang 、LTF,通過 /proc/進程id 進入對應進程文件,ls -lh,發現可執行文件竟然指向了Tomcat bin目錄
跟上次又是多麼的相似,只是進程和文件名不一樣罷了,於是簡單的操作,kill -9 pid ,結果操作無效,很快進程起來,而且文件刪除不了,報
operation not permitted(我可是用root用戶執行的,難道還有root幹不了的事情?具體了解可查看資料 lsattr和),刪除後,過一會兒又自動恢
復。
三、ClamAV工具
關於ClamAV工具的用途以及安裝,請網路搜索相關介紹和安裝資料,大概說一下,ClamAV是Linux平台的一個木馬掃描工具,可以掃描哪些
文件被感染了(但不能自動清除這些病毒,沒有windows上面的殺毒軟體那麼強大),我安裝在/home/clamav目錄下。
四、解決辦法
通過命令 /home/clamav/bin/clamscan -r --bell -i /,掃描這個根目錄發現有不少的文件被感染了:
發現tomcat bin目錄下的2個文件果然是被感染的了,同時發現有幾個命令也被感染了如ps、netstat以及lsof,於是我清除了bsd-port這個目
錄,同時把pythno清理,對於命令可以通過,從同版本的linux 沒有問題的linux主機上面過來,刪除後進行覆蓋即可(也可以刪除重裝),
再把tomcat的文件刪除,以及異常的進程kill掉,再用clamav掃描發現沒有了,最後還需要檢查下/etc/init.d這個開機啟動的文件,檢查裡面自動啟
動的,我這個裡面就發現先前指向 /user/bin/bsd-port/knerl 這個,文件已經刪除了,我同時把對應的sh,注釋掉。目前來看,一切正常了。。。
五、總結
一次比較完整的定位問題,平時一般很少接觸到查收木馬的事情,碰上了就當學習,提升技能,只是不足,沒有搞清木馬是如何進來的,這
個需要後續不斷的學習。心好累,Linux主機第二次中木馬了。。。。