linux挖矿病毒排查-实操

一、优先排查
netstat -ntpl //恶意连接排查
cat /etc/passwd //异常账户排查
cat /etc/shadow
cat /etc/rc.d/rc.local/init.d等 //开机启动项排查
chkconfig --list //同等上面，为了全面可以使用此命令复查下
crontab -l //计划任务排查
cat /etc/hosts //hostst文件排查
cat /etc/resolv.conf //dns配置文件排查
以上命令必须先排查掉

二、可选

lsof可选，效果不大
lsof -i tcp/udp //列出使用了tcp或udp协议的文件
lsof -i tcp:3306 //列出使用了tcp协议并且端口号为3306的文件
netstat可选，效果不大
netstat-apn | grep pid 查看网络连接

三、实战场景

1、发现CPU占用率很高的进程
top //shift + p
kill -9 pid //kill后没用
ls -l /proc/pid/exe //查看病毒路径
rm -rf //统统删除病毒文件
kill -9 pid
top //没占用率高的进程了，搞定
结束
2、未发现占用率高的进程
cat /etc/ld.so.preload //发现里面有.so文件，这是病毒隐藏文件
vim看一下，太多.so文件了，且ll查看后发现属于只读文件，不能修改

如果使用上述方式删除了.so隐藏文件担心不保险，那就top一下，
此时会出现占用高的进程，存在守护线程
systemctl status pid
rm -rf 进程名
cd /var/spool/cron目录下找到文件root,查看定时任务，并删除
ps -aux | grep 进程名 //会显示进程id
kill -9 pid
最好，再把守护线程执行下
systemctl status pid //避免守护进程存在守护进程
#当使用rm删除文件和文件夹的时候提示：rm: 无法删除"bash": 不允许的操作
通过命令 chattr,可以设置文件/文件夹的隐藏属性,来保证文件/文件夹的安全.
其中比较重要的参数为i和a.这两个属性只有root用户才可以设置或清除.而通过
命令 lsattr 可以查看这些属性
①lsattr 文件名，可以看到文件有-i和-a属性
chattr -i 文件名
chattr -a 文件名
chattr -u 文件名
②直接全部删除整个文件
rm -rf ld.so.preload
top //此时会出现占用率高的进程
ls -l /proc/pid/exe //查看病毒路径
rm -rf //统统删除病毒文件
kill -9 pid
crontab -l
cat /etc/rc.local //开机自启
公钥免密登录
①暂未验证删除后怎么办
cat .ssh/authorized_keys
rm -rf
②把添加的公钥删除，暂未验证这个目录
cat .ssh/known_hosts
reboot

root账户：

ls /var/spool/cron/crontabls/
cat /etc/crontab
ls -l /etc/cron.d/