.如果一台linux服务器中了botnet病毒,该如何排查

1、病毒木马排查。

1.1、使用netstat查看网络连接，分析是否有可疑发送行为，如有则停止。

在服务器上发现一个大写的CRONTAB命令，然后进行命令清理及计划任务排查。

(linux常见木马，清理命令chattr -i /usr/bin/.sshdrm -f /usr/bin/.sshdchattr -i /usr/bin/.swhdrm -f /usr/bin/.swhdrm -f -r /usr/bin/bsd-portcp /usr/bin/dpkgd/ps /bin/pscp /usr/bin/dpkgd/netstat /bin/netstatcp /usr/bin/dpkgd/lsof /usr/sbin/lsofcp /usr/bin/dpkgd/ss /usr/sbin/ssrm -r -f /root/.sshrm -r -f /usr/bin/bsd-portfind /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9）

1.2、使用杀毒软件进行病毒查杀。

2、服务器漏洞排查并修复

2.1、查看服务器账号是否有异常，如有则停止删除掉。

2.2、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10位及以上。

2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

2.4、查看WEB应用是否有漏洞，如struts, ElasticSearch等，如有则请升级。

2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

2.6、查看Redis无密码可远程写入文件漏洞，检查/root/.ssh/下黑客创建的SSH登录密钥文件，删除掉，修改Redis为有密码访问并使用强密码，不需要公网访问最好bind 127.0.0.1本地访问。

2.7、如果有安装第三方软件，请按官网指引进行修复。

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：

一、Web Server（以Nginx为例）

1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）

2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {

set $php_url $1

　 　}

if (!-e $php_url.php) {

return 404

　}

4、重新编译Web Server，隐藏Server信息

5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。

二.改变目录和文件属性，禁止写入

find -type f -name \*.php -exec chmod 444 {} \

find -type d -exec chmod 555 {} \

注：当然要排除上传目录、缓存目录等；

同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危险函数：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg

四.MySQL数据库账号安全：

禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。

五.查杀木马、后门

grep -r –include=*.php ‘[^a-z]eval($_POST’ . >grep.txt

grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\])’ . >grep.txt

把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

查找近2天被修改过的文件：

find -mtime -2 -type f -name \*.php

注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

六.及时给Linux系统和Web程序打补丁，堵上漏洞

　可以用eset的nod32进行查杀。

　Linux下的蠕虫病毒与Windows下的蠕虫病毒类似，可以独立运行，并将自身传播到另外的计算机上去。在Linux平台下的蠕虫病毒通常利用一些Linux系统和服务的漏洞来进行传播，比如，Ramen病毒就是利用了Linux某些版本(Redhat6.2和7.0)的rpc.statd和wu-ftp这两个安全漏洞进行传播的。

防范：防范此类病毒要堵住蠕虫病毒发作的源头，从已经出现的几个Linux病毒爆发事件来看，它们都是利用了Linux已经公布了的几个安全漏洞，如果用户及时采取了对应的安全措施就不会受到它们的影响。不过遗憾的是，许多Linux的管理员并没有紧密跟踪与自己系统和服务相关的最新信息，所以还是给病毒有可乘之机。用户要做好本机的安全工作，特别要关心Linux的安全漏洞信息，一旦有新的Linux安全漏洞出现，就要及时采取安全措施。此外，还可以配合防火墙规则来限制蠕虫病毒的传播。　

对Linux平台下病毒的防范总结出以下几条建议，仅供参考：(1)做好系统加固工作。(2)留心安全公告，及时修正漏洞。(3)日常 *** 作不要使用root权限进行。(4)不要随便安装来历不明的各种设备驱动程序。(5)不要在重要的服务器上运行一些来历不明的可执行程序或脚本。(6)尽量安装防毒软件，并定期升级病毒代码库。(7)对于连接到Internet的Linux服务器，要定期检测Linux病毒。蠕虫和木马是否存在。(8)对于提供文件服务的Linux服务器，最好部署一款可以同时查杀Windows和Linux病毒的软件。

---