linux病毒查杀规范

一、病毒发现

  1、ps -A、ps -ef、ps -aux查看是否有异常进程

  2、last,lastlog命令可查看最近登录的帐户及时间

  3、查看/var/log/messages(系统整体信息,包含启动等) , /var/log/secure(安全日志)、/var/log/cron(cron定时任务)。

二、文件定位

  1、查看风险用户任务计划,文件/var/spool/cron/tabs/xx(用户)

  2、几个经常被放置木马病毒的目录,/tmp, /var/tmp, /dev/shm(这些目录都设置了SBIT,即所有用户都可读,可写,可执行。并且在访问这些目录的同时拥有root权限)
  3、通过时间来查找,find / -ctime n   n为指定的时间,可通过上述找到的信息,综合判断,然后选取时间点,查找在那个时间点创建的文件。比如2天前的24小时内,就可用find / -ctime 2 > /tmp/file.log
      4、各类服务日志,比如apache日志: $APACHE_HOME/logs/access_log ,$APACHE_HOME/logs/error_log

三、病毒处理

  1、find / -name filename找到病毒文件路径

  2、kill -9 PID&& rm filename杀掉病毒并清除病毒文件(如果无十分把握,不要使用rm删除)

      3、ps -A | grep filename看是否杀掉(如果过一会启动,需要看cron等日志,看如何被再次启动)

  4、touch filename && chmod -r-w-x filename建立无效的同名文件,ls -l查看是否成功

  5、查看linux系统/etc/init.d, /etc/rc.d(init.d, rcx.d, rc.local)。

 

posted on 2015-12-29 14:47  风魂樱之花  阅读(445)  评论(0编辑  收藏  举报