linux挖矿病毒排查-实操
一、优先排查
netstat -ntpl //恶意连接排查
cat /etc/passwd //异常账户排查
cat /etc/shadow
cat /etc/rc.d/rc.local/init.d等 //开机启动项排查
chkconfig --list //同等上面,为了全面可以使用此命令复查下
crontab -l //计划任务排查
cat /etc/hosts //hostst文件排查
cat /etc/resolv.conf //dns配置文件排查
以上命令必须先排查掉
二、可选
lsof可选,效果不大
lsof -i tcp/udp //列出使用了tcp或udp协议的文件
lsof -i tcp:3306 //列出使用了tcp协议并且端口号为3306的文件
netstat可选,效果不大
netstat-apn | grep pid 查看网络连接
三、实战场景
1、发现CPU占用率很高的进程
top //shift + p
kill -9 pid //kill后没用
ls -l /proc/pid/exe //查看病毒路径
rm -rf //统统删除病毒文件
kill -9 pid
top //没占用率高的进程了,搞定
结束
2、未发现占用率高的进程
cat /etc/ld.so.preload //发现里面有.so文件,这是病毒隐藏文件
vim看一下,太多.so文件了,且ll查看后发现属于只读文件,不能修改
如果使用上述方式删除了.so隐藏文件担心不保险,那就top一下,
此时会出现占用高的进程,存在守护线程
systemctl status pid
rm -rf 进程名
cd /var/spool/cron目录下找到文件root,查看定时任务,并删除
ps -aux | grep 进程名 //会显示进程id
kill -9 pid
最好,再把守护线程执行下
systemctl status pid //避免守护进程存在守护进程
#当使用rm删除文件和文件夹的时候提示:rm: 无法删除"bash": 不允许的操作
通过命令 chattr,可以设置文件/文件夹的隐藏属性,来保证文件/文件夹的安全.
其中比较重要的参数为i和a.这两个属性只有root用户才可以设置或清除.而通过
命令 lsattr 可以查看这些属性
①lsattr 文件名,可以看到文件有-i和-a属性
chattr -i 文件名
chattr -a 文件名
chattr -u 文件名
②直接全部删除整个文件
rm -rf ld.so.preload
top //此时会出现占用率高的进程
ls -l /proc/pid/exe //查看病毒路径
rm -rf //统统删除病毒文件
kill -9 pid
crontab -l
cat /etc/rc.local //开机自启
公钥免密登录
①暂未验证删除后怎么办
cat .ssh/authorized_keys
rm -rf
②把添加的公钥删除,暂未验证这个目录
cat .ssh/known_hosts
reboot
root账户:
ls /var/spool/cron/crontabls/
cat /etc/crontab
ls -l /etc/cron.d/