如何查杀Linux系统下的木马

如何查杀Linux系统下的木马,第1张

试试腾讯电脑管家查杀,严格控制病毒的检测,采用的是误报率极低的云查杀技术,确保扫描出来的结果一定是最准确的。而且为了确保万无一失,电脑管家默认采取可恢复的隔离方式清除病毒,如果万一您发现已清除的病毒是正常的文件,您还可以通过隔离区进行恢复。

您可以点击杀毒标签页下角的“隔离区”,在列表中选中想要恢复的文件,再点击“恢复”按钮,即可轻松恢复误删除的文件。

        都说Linux主机是非常安全的,但有时却不见得,第二次碰上Linux中木马了(我运气这么好?)。

废话不多说,直接进入主题。

一、状况描述:

       1、2017.06.19早上过来发现ssh连接不上,以及各个官网都访问不了;

        2、通过云主机厂商后台登录,发现nginx、tomcat、svn应用全部停止;

        3、ping www.google.com (云主机在US) 不通;

二、问题定位:

        应该是云主机被重启了,同时断开了外网(有些应用没有设置为自启动),于是重启公网的网卡后,ssh就可以登录了,手工启动了nginx、

omcat、svn等应用,因为上次也发生过几次这样的情况,据云厂商反馈,云主机对外发送大量的网络包,导致流量巨大,具体在Linux主机上的

体现就是cpu一直100%左右撑死,于是我怀疑是不是这次也是对外发送巨大的流量包,导致云主机厂商断了主机的外网呢?通过top命令查看

进程发现并没有cpu占用过高的进程,就ifconfig 查看了下网卡情况,显示网卡流量在2.4G左右(由于是事后了,没有截到先前的图),感觉很迅

速,于是我就又断开了一次,就没管了,到中午午休后,下午再次使用ifconfig,此时流量对外发送大量的流量包,累计流量竟然高达140G左右

(后面处理了,就累加了一点):

这情况显示,肯定是中木马,由于Linux主机上面没有安装一些关于流量分析的软件,只从常用的top命令开始,发现并没有cpu占用很高的进程,

但发现有两个从来没见过的进程:MuYuHang 、LTF,通过 /proc/进程id 进入对应进程文件,ls -lh,发现可执行文件竟然指向了Tomcat bin目录

跟上次又是多么的相似,只是进程和文件名不一样罢了,于是简单的 *** 作,kill -9 pid  ,结果 *** 作无效,很快进程起来,而且文件删除不了,报

operation not permitted(我可是用root用户执行的,难道还有root干不了的事情?具体了解可查看资料 lsattr和),删除后,过一会儿又自动恢

复。

三、ClamAV工具

       关于ClamAV工具的用途以及安装,请百度搜索相关介绍和安装资料,大概说一下,ClamAV是Linux平台的一个木马扫描工具,可以扫描哪些

文件被感染了(但不能自动清除这些病毒,没有windows上面的杀毒软件那么强大),我安装在/home/clamav目录下。

四、解决办法

      通过命令 /home/clamav/bin/clamscan -r --bell -i /,扫描这个根目录发现有不少的文件被感染了:

       发现tomcat bin目录下的2个文件果然是被感染的了,同时发现有几个命令也被感染了如ps、netstat以及lsof,于是我清除了bsd-port这个目

录,同时把pythno清理,对于命令可以通过,从同版本的linux 没有问题的linux主机上面copy过来,删除后进行覆盖即可(也可以删除重装),

再把tomcat的文件删除,以及异常的进程kill掉,再用clamav扫描发现没有了,最后还需要检查下/etc/init.d这个开机启动的文件,检查里面自动启

动的,我这个里面就发现先前指向 /user/bin/bsd-port/knerl 这个,文件已经删除了,我同时把对应的sh,注释掉。目前来看,一切正常了。。。

五、总结

        一次比较完整的定位问题,平时一般很少接触到查收木马的事情,碰上了就当学习,提升技能,只是不足,没有搞清木马是如何进来的,这

个需要后续不断的学习。心好累,Linux主机第二次中木马了。。。。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/8388385.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-15
下一篇 2023-04-15

发表评论

登录后才能评论

评论列表(0条)

保存