linux病毒查杀规范
一、病毒发现
1、ps -A、ps -ef、ps -aux查看是否有异常进程
2、last,lastlog命令可查看最近登录的帐户及时间
3、查看/var/log/messages(系统整体信息,包含启动等) , /var/log/secure(安全日志)、/var/log/cron(cron定时任务)。
二、文件定位
1、查看风险用户任务计划,文件/var/spool/cron/tabs/xx(用户)
2、几个经常被放置木马病毒的目录,/tmp, /var/tmp, /dev/shm(这些目录都设置了SBIT,即所有用户都可读,可写,可执行。并且在访问这些目录的同时拥有root权限)
3、通过时间来查找,find / -ctime n n为指定的时间,可通过上述找到的信息,综合判断,然后选取时间点,查找在那个时间点创建的文件。比如2天前的24小时内,就可用find / -ctime 2 > /tmp/file.log
4、各类服务日志,比如apache日志: $APACHE_HOME/logs/access_log ,$APACHE_HOME/logs/error_log
三、病毒处理
1、find / -name filename找到病毒文件路径
2、kill -9 PID&& rm filename杀掉病毒并清除病毒文件(如果无十分把握,不要使用rm删除)
3、ps -A | grep filename看是否杀掉(如果过一会启动,需要看cron等日志,看如何被再次启动)
4、touch filename && chmod -r-w-x filename建立无效的同名文件,ls -l查看是否成功
5、查看linux系统/etc/init.d, /etc/rc.d(init.d, rcx.d, rc.local)。
