このトピックでは、Linuxオペレーティングシステムでトロイの木馬を検出して削除するためのベストプラクティスについて説明します。
このタスクについて
Linuxオペレーティングシステムで脆弱性が検出されたが、対策を講じていない場合、トロイの木馬がシステムに挿入される可能性があります。 できるだけ早い機会にシステムからトロイの木馬を削除する必要があります。 In addition, you must reinforce the security of your system by using multiple methods. たとえば、セキュリティパッチのインストール、システム権限の制御、操作の監査、ログの分析などを行うことができます。
ステップ1: セキュリティセンターを使用してトロイの木馬を検出する
- Log on to the Security Center console to handle alerts and remove detected trojans at the earliest opportunity. 詳細については、「アラートの表示と処理」をご参照ください。
- Fix vulnerabilities at the earliest opportunity to reinforce the security of your system. 詳細については、「Linuxソフトウェアの脆弱性の表示と処理」をご参照ください。
Step 2: Query attack details
last and lastlogコマンドを実行して、最終ログイン時刻とログインアカウントを照会します。 Then, lock abnormal accounts.grep -i Accepted /var/log/secureコマンドを実行して、リモートロケーションからシステムにログオンするために使用されるIPアドレスを照会します。- Run the following commands to query cron jobs:
/var/spool/cron/ /etc/cron.hourly /etc/crontab - Run the
find / -ctime 1command to query the last update time of a file. これにより、トロイの木馬ファイルを識別できます。 - Check the /etc/passwd and /etc/shadow files for malicious users.
- /tmp、/vat/tmp、および /dev/shmの一時ディレクトリを確認します。 これらのディレクトリの許可は1777です。 したがって、これらのディレクトリを使用してトロイの木馬ファイルをアップロードできます。
- Check whether exceptions exist in the logs of services such as Tomcat and NGINX, whose service ports are accessible from the Internet.
- Run the
service --status-all | grep runningcommand to check whether exceptions exist in the services that are running. chkconfig -- list | grep :onコマンドを実行して、自動的に起動するサービスに例外が存在するかどうかを確認します。- Run the
ls -lt /etc/init.d/ | headcommand to check whether abnormal startup scripts exist.
ステップ3: 一般的に使用されるコマンドを実行してトロイの木馬を検出する
| コマンド | 説明 |
|---|---|
| psまたは上 | これらのコマンドを実行して、実行中のプロセスと、これらのプロセスによって占有されているシステムリソースを照会できます。 このようにして、異常なプロセスを特定できます。 |
| pstree | このコマンドを実行すると、ツリーマップ内のプロセス間の関係を視覚化できます。 |
| lsof | このコマンドを実行すると、プロセスによって開かれるファイル、プロセスによって占有されるファイルまたはディレクトリ、特定のポートを開くプロセス、およびシステム内のすべての開いているポートを照会できます。 |
| netstat | You can run this command to query all the ports monitored by the system, network connection status, and the IP addresses from which excessive connections are established. |
| iftop | You can run this command to monitor the network traffic forwarded over TCP connections in real time. これにより、インバウンドトラフィックとアウトバウンドトラフィックを区別してソートし、異常なネットワークトラフィックを持つIPアドレスを特定できます。 |
| nethogs | このコマンドを実行すると、各プロセスによって生成されるネットワークトラフィックを監視し、プロセスをトラフィック量で降順に並べ替えることができます。 このようにして、異常な大量のトラフィックを持つ異常なプロセスを特定できます。 |
| strace | このコマンドを実行すると、特定のプロセスによって実行されたシステムコールをトレースできます。 このようにして、トロイの木馬の実行ステータスを分析できます。 |
| 文字列 | このコマンドを実行すると、ファイル内の印刷可能な文字列を取得できます。 次に、文字列を使用してトロイの木馬を分析できます。 |