本文檔介紹了Linux系統查殺木馬的最佳實務。
背景資訊
系統安全存在漏洞或未採取足夠的安全強化措施時,Linux系統可能會被植入木馬程式。及時清理木馬程式後,還需提高安全意識,從安全補丁加固、系統許可權加固、Action Trail、日誌分析等多維度對系統安全進行全方位提升。
步驟一:使用Security Center查殺木馬程式
步驟二:尋找詳細的入侵痕迹
- 執行
last,lastlog命令,查看最近登入的賬戶和登入時間,鎖定異常賬戶。 - 執行
grep -i Accepted /var/log/secure命令,查看遠程登入成功的IP地址。 - 執行以下命令,尋找計劃任務。
cat /var/spool/cron/ cat /etc/cron.hourly cat /etc/crontab - 執行
find / -ctime 1通過檔案狀態最後修改時間來尋找木馬檔案。 - 檢查/etc/passwd和/etc/shadow檔案,確認是否有可疑使用者。
- 檢查臨時目錄/tmp、/vat/tmp、/dev/shm下的檔案,這些目錄許可權是1777,容易被上傳木馬檔案。
- 查看連接埠對外的服務日誌是否存在異常,例如:tomcat、nginx。
- 執行
service --status-all | grep running,查看當前啟動並執行服務中是否存在異常。 - 執行
chkconfig --list | grep :on,查看自啟動的服務中是否存在異常。 - 執行
ls -lt /etc/init.d/ | head,查看是否有異常啟動指令碼。
步驟三:使用常用木馬查殺命令
| 命令 | 功能 |
| ps,top | 查看啟動並執行進程和進程系統資源佔用情況,尋找異常進程。 |
| pstree | 以樹狀圖的形式顯示進程間的關係。 |
| lsof | 查看進程開啟的檔案、檔案或目錄被哪個進程佔用、開啟某個連接埠的進程、系統所有開啟的連接埠等資訊。 |
| netstat | 查看系統監聽的所有連接埠、網路連接情況,尋找串連數過多的IP地址等資訊。 |
| iftop | 監控TCP串連即時網路流量,可分別分析出入流量並進行排序,尋找出流量異常的IP地址。 |
| nethogs | 監控每個進程使用的網路流量,並從高到低排序,方便尋找出流量異常的進程。 |
| strace | 追蹤一個進程執行的系統調用,分析木馬進程的運行情況。 |
| strings | 輸出檔案中可列印的字串,可用來分析木馬程式。 |