,這個只能靠殺毒軟體檢測,不然就會誤刪 2,可以使用電腦管家 3,打開選擇全盤殺毒,可以找出電腦裡面所有隱藏的病毒,然後一鍵刪除。
㈡ Linux centos 6.5 異常進程與木馬查殺
都說Linux主機是非常安全的,但有時卻不見得,第二次碰上Linux中木馬了(我運氣這么好?)。
廢話不多說,直接進入主題。
一、狀況描述:
1、2017.06.19早上過來發現ssh連接不上,以及各個官網都訪問不了;
2、通過雲主機廠商後台登錄,發現nginx、tomcat、svn應用全部停止;
3、ping www.google.com (雲主機在US) 不通;
二、問題定位:
應該是雲主機被重啟了,同時斷開了外網(有些應用沒有設置為自啟動),於是重啟公網的網卡後,ssh就可以登錄了,手工啟動了nginx、
omcat、svn等應用,因為上次也發生過幾次這樣的情況,據雲廠商反饋,雲主機對外發送大量的網路包,導致流量巨大,具體在Linux主機上的
體現就是cpu一直100%左右撐死,於是我懷疑是不是這次也是對外發送巨大的流量包,導致雲主機廠商斷了主機的外網呢?通過top命令查看
進程發現並沒有cpu佔用過高的進程,就ifconfig 查看了下網卡情況,顯示網卡流量在2.4G左右(由於是事後了,沒有截到先前的圖),感覺很迅
速,於是我就又斷開了一次,就沒管了,到中午午休後,下午再次使用ifconfig,此時流量對外發送大量的流量包,累計流量竟然高達140G左右
(後面處理了,就累加了一點):
這情況顯示,肯定是中木馬,由於Linux主機上面沒有安裝一些關於流量分析的軟體,只從常用的top命令開始,發現並沒有cpu佔用很高的進程,
但發現有兩個從來沒見過的進程:MuYuHang 、LTF,通過 /proc/進程id 進入對應進程文件,ls -lh,發現可執行文件竟然指向了Tomcat bin目錄
跟上次又是多麼的相似,只是進程和文件名不一樣罷了,於是簡單的操作,kill -9 pid ,結果操作無效,很快進程起來,而且文件刪除不了,報
operation not permitted(我可是用root用戶執行的,難道還有root幹不了的事情?具體了解可查看資料 lsattr和),刪除後,過一會兒又自動恢
復。
三、ClamAV工具
關於ClamAV工具的用途以及安裝,請網路搜索相關介紹和安裝資料,大概說一下,ClamAV是Linux平台的一個木馬掃描工具,可以掃描哪些
文件被感染了(但不能自動清除這些病毒,沒有windows上面的殺毒軟體那麼強大),我安裝在/home/clamav目錄下。
四、解決辦法
通過命令 /home/clamav/bin/clamscan -r --bell -i /,掃描這個根目錄發現有不少的文件被感染了:
發現tomcat bin目錄下的2個文件果然是被感染的了,同時發現有幾個命令也被感染了如ps、netstat以及lsof,於是我清除了bsd-port這個目
錄,同時把pythno清理,對於命令可以通過,從同版本的linux 沒有問題的linux主機上面過來,刪除後進行覆蓋即可(也可以刪除重裝),
再把tomcat的文件刪除,以及異常的進程kill掉,再用clamav掃描發現沒有了,最後還需要檢查下/etc/init.d這個開機啟動的文件,檢查裡面自動啟
動的,我這個裡面就發現先前指向 /user/bin/bsd-port/knerl 這個,文件已經刪除了,我同時把對應的sh,注釋掉。目前來看,一切正常了。。。
五、總結
一次比較完整的定位問題,平時一般很少接觸到查收木馬的事情,碰上了就當學習,提升技能,只是不足,沒有搞清木馬是如何進來的,這
個需要後續不斷的學習。心好累,Linux主機第二次中木馬了。。。。
㈢ 如何防止Linux系統中木馬
Linux下的木馬通常是惡意者通過Web的上傳目錄的方式來上傳木馬到Linux伺服器,為做防護,我們可根據從惡意者訪問網站開始-->Linux系統-->HTTP服務-->中間件服務-->程序代碼-->DB-->存儲,逐一設卡防護。
1.開發程序代碼對上傳文件類型做限制,例如不能上傳.php程序。
2.對上傳的內容進行檢測,檢測方式可通過程序、Web服務層、資料庫等層面控制。
3.控制上傳目錄的許可權以及非站點目錄的許可權。
4.傳上木馬文件後的訪問和執行控制。
5.對重要配置文件、命令和WEB配置等文件做md5指紋及備份。
6.安裝殺毒軟體,定期監測查殺木馬。
7.配置伺服器防火牆及入侵檢測服務。
8.監控伺服器文件變更、進程變化、埠變化、重要安全日誌並及時報警。
㈣ linux伺服器中木馬怎麼處理
以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法:
一、Web Server(以Nginx為例)
1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程序池達到隔離效果)
2、上傳目錄、include類的庫文件目錄要禁止代碼執行(Nginx正則過濾)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server,隱藏Server信息
5、打開相關級別的日誌,追蹤可疑請求,請求者IP等相關信息。
二.改變目錄和文件屬性,禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註:當然要排除上傳目錄、緩存目錄等;
同時最好禁止chmod函數,攻擊者可通過chmod來修改文件只讀屬性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危險函數:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL資料庫賬號安全:
禁止mysql用戶外部鏈接,程序不要使用root賬號,最好單獨建立一個有限許可權的賬號專門用於Web程序。
五.查殺木馬、後門
grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件,下載下來慢慢分析,其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找,上傳圖片肯定有也捆綁的,來次大清洗。
查找近2天被修改過的文件:
find -mtime -2 -type f -name \*.php
注意:攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找,所以touch必須禁止
六.及時給Linux系統和Web程序打補丁,堵上漏洞
㈤ 請給推薦linux的殺毒軟體吧
1、ClamAV
是一款開源防病毒軟體,可檢測病毒、惡意軟體、特洛伊木馬和其他威脅,也是免費提供的,這使其成為Linux上最好的防病毒軟體之一,ClamAV具有命令行掃描程序,這意味著它可以掃描主要文件類型中的蠕蟲、病毒和特洛伊木馬,為確保安全並保持最新狀態,病毒庫一天會更新多次。
2、Chkrootkit
Chkrootkit會檢查rootkit,它是一個在命令行界面上運行的免費軟體,可以在不安裝軟體的情況下掃描您的系統,還是一個輕量級程序,這意味著它不會影響系統性能,還可以檢測各種其他惡意軟體和木馬,如後門、TinyNDS等。
3、Comodo
作為Linux上最好的免費防病毒軟體之一,Comodo帶有按需病毒掃描程序,還檢查使用雲資料庫以檢查未知文件,以確保每一天的安全,一旦安裝,就不會用無用的警報來打擾你,只是保護計算機免受所有傳入的威脅。
4、Sophos
作為另一款免費的防病毒軟體,Sophos具有高級功能,並且在Linux系統上也能輕松運行,可以使你的Linux免受Android、Windows和Mac的病毒和惡意軟體的侵害,且具有強大的基於啟發式的檢測和實時掃描功能。
5、Rootkit Hunter
另一個免費檢測rootkit的好選擇,RootkitHunter也被認為是Linux上最好的防病毒軟體之一,與大多數UNIX系統兼容,使用命令行界面,重量輕。
6、F-PROT
是一款帶有按需掃描儀的免費軟體,這是一個不錯的選擇,可確保針對宏病毒、引導扇區病毒和木馬的安全性,可以根據自己的喜好安排掃描,強大的工具是快速掃描和龐大數據庫的組合,可確保您的系統安全。
㈥ linux chattr被木馬了 怎麼辦
方法/步驟
首先我們要先確定是哪台機器的網卡在向外發包,還好我們這邊有zabbix監控,我就一台一台的檢查,發現有一台的流量跑滿了,問題應該出現在這台機器上面
我登錄到機器裡面,查看了一下網卡的流量,我的天啊,居然跑了這個多流量。
這台機器主要是運行了一個tomcat WEB服務和oracle資料庫,問題不應該出現在WEB服務和資料庫上面,我檢查了一下WEB日誌,沒有發現什麼異常,查看資料庫也都正常,也沒有什麼錯誤日誌,查看系統日誌,也沒有看到什麼異常,我趕緊查看了一下目前運行的進程情況,看看有沒有什麼異常的進程,一查看,果然發現幾個異常進程,不仔細看還真看不出來,這些進程都是不正常的。
這是個什麼進程呢,我每次ps -ef都不一樣,一直在變動,進程號一一直在變動中,我想看看進程打開了什麼文件都行,一時無從下手,想到這里,我突然意識到這應該都是一些子進程,由一個主進程進行管理,所以看這些子進程是沒有用的,即便我殺掉他們還會有新的生成,擒賊先擒王,我們去找一下主進程,我用top d1實時查看進程使用資源的情況,看看是不是有異常的進程佔用cpu內存等資源,發現了一個奇怪的進程,平時沒有見過。這個應該是我們尋找的木馬主進程。
我嘗試殺掉這個進程,killall -9 ueksinzina,可是殺掉之後ps -ef查看還是有那些子進程,難道沒有殺掉?再次top d1查看,發現有出現了一個其他的主進程,看來殺是殺不掉的,要是那麼容易殺掉就不是木馬了。
可以看到裡面有個定時任務gcc4.sh,這個不是我們設定的,查看一下內容更加奇怪了,這個應該是監聽程序死掉後來啟動的,我們這邊把有關的配置全部刪掉,並且刪掉/lib/libudev4.so。
在/etc/init.d/目錄下面也發現了這個文件。
裡面的內容是開機啟動的信息,這個我們也給刪掉
到此為止,沒有新的木馬進程生成,原理上說是結束掉了木馬程序,後面的工作就是要清楚這些目錄產生的文件,經過我尋找,首先清除/etc/init.d目錄下面產生的木馬啟動腳本,然後清楚/etc/rc#.d/目錄下面的連接文件。
10
後來我查看/etc目錄下面文件的修改時間,發現ssh目錄下面也有一個新生成的文件,不知道是不是有問題的。清理差不多之後我們就要清理剛才生成的幾個文件了,一個一個目錄清楚,比如"chattr -i /tmp",然後刪除木馬文件,以此類推刪除/bin、/usr/bin目錄下面的木馬,到此木馬清理完畢。
㈦ linux系統下有哪些殺毒軟體
linux很少有病毒 所以基本也就沒什麼殺毒軟體
當然 安全防護的軟體還是不少的 比如tripware 之類的檢查二進制文件安全性的軟體 以及 rootkitcheck
㈧ linux系統中病毒怎麼辦
1、最簡單有效的方法就是重裝
2、要查的話就是找到病毒文件然後刪除;中毒之內後一般機容器cpu、內存使用率會比較高,機器向外發包等異常情況,排查方法簡單介紹下:
#top命令找到cpu使用率最高的進程,一般病毒文件命名都比較亂
#可以用ps aux 找到病毒文件位置
#rm -f 命令刪除病毒文件
#檢查計劃任務、開機啟動項和病毒文件目錄有無其他可以文件等
3、由於即使刪除病毒文件不排除有潛伏病毒,所以最好是把機器備份數據之後重裝一下。