本文檔介紹了Linux系統查殺木馬的最佳實踐。
背景信息
系統安全存在漏洞或未采取足夠的安全加固措施時,Linux系統可能會被植入木馬程序。及時清理木馬程序后,還需提高安全意識,從安全補丁加固、系統權限加固、操作審計、日志分析等多維度對系統安全進行全方位提升。
步驟一:使用云安全中心查殺木馬程序
步驟二:查找詳細的入侵痕跡
執行
last,lastlog命令,查看最近登錄的賬戶和登錄時間,鎖定異常賬戶。執行
grep -i Accepted /var/log/secure命令,查看遠程登錄成功的IP地址。執行以下命令,查找計劃任務。
cat /var/spool/cron/ cat /etc/cron.hourly cat /etc/crontab執行
find / -ctime 1通過文件狀態最后修改時間來查找木馬文件。檢查/etc/passwd和/etc/shadow文件,確認是否有可疑用戶。
檢查臨時目錄/tmp、/var/tmp、/dev/shm下的文件,這些目錄權限是1777,容易被上傳木馬文件。
查看端口對外的服務日志是否存在異常,例如:tomcat、nginx。
執行
service --status-all | grep running,查看當前運行的服務中是否存在異常。執行
chkconfig --list | grep :on,查看自啟動的服務中是否存在異常。執行
ls -lt /etc/init.d/ | head,查看是否有異常啟動腳本。
步驟三:使用常用木馬查殺命令
命令 | 功能 |
ps,top | 查看運行的進程和進程系統資源占用情況,查找異常進程。 |
pstree | 以樹狀圖的形式顯示進程間的關系。 |
lsof | 查看進程打開的文件、文件或目錄被哪個進程占用、打開某個端口的進程、系統所有打開的端口等信息。 |
netstat | 查看系統監聽的所有端口、網絡連接情況,查找連接數過多的IP地址等信息。 |
iftop | 監控TCP連接實時網絡流量,可分別分析出入流量并進行排序,查找出流量異常的IP地址。 |
nethogs | 監控每個進程使用的網絡流量,并從高到低排序,方便查找出流量異常的進程。 |
strace | 追蹤一個進程執行的系統調用,分析木馬進程的運行情況。 |
strings | 輸出文件中可打印的字符串,可用來分析木馬程序。 |