全部產品
Search
文件中心

Security Center:Linux系統木馬查殺

更新時間:Jun 19, 2024

本文檔介紹了Linux系統查殺木馬的最佳實務。

背景資訊

系統安全存在漏洞或未採取足夠的安全強化措施時,Linux系統可能會被植入木馬程式。及時清理木馬程式後,還需提高安全意識,從安全補丁加固、系統許可權加固、Action Trail、日誌分析等多維度對系統安全進行全方位提升。

步驟一:使用Security Center查殺木馬程式

  1. 使用Security Center安全警示處理,及時清理木馬威脅。詳細內容,請參見查看和處理安全警示
  2. 及時修複系統漏洞,加固系統安全。詳細內容,請參見查看和處理漏洞

步驟二:尋找詳細的入侵痕迹

  • 執行last,lastlog命令,查看最近登入的賬戶和登入時間,鎖定異常賬戶。
  • 執行grep -i Accepted /var/log/secure命令,查看遠程登入成功的IP地址。
  • 執行以下命令,尋找計劃任務。
    cat /var/spool/cron/
    cat /etc/cron.hourly
    cat /etc/crontab
  • 執行find / -ctime 1通過檔案狀態最後修改時間來尋找木馬檔案。
  • 檢查/etc/passwd/etc/shadow檔案,確認是否有可疑使用者。
  • 檢查臨時目錄/tmp/vat/tmp/dev/shm下的檔案,這些目錄許可權是1777,容易被上傳木馬檔案。
  • 查看連接埠對外的服務日誌是否存在異常,例如:tomcat、nginx。
  • 執行service --status-all | grep running,查看當前啟動並執行服務中是否存在異常。
  • 執行chkconfig --list | grep :on,查看自啟動的服務中是否存在異常。
  • 執行ls -lt /etc/init.d/ | head,查看是否有異常啟動指令碼。

步驟三:使用常用木馬查殺命令

命令功能
ps,top查看啟動並執行進程和進程系統資源佔用情況,尋找異常進程。
pstree以樹狀圖的形式顯示進程間的關係。
lsof查看進程開啟的檔案、檔案或目錄被哪個進程佔用、開啟某個連接埠的進程、系統所有開啟的連接埠等資訊。
netstat查看系統監聽的所有連接埠、網路連接情況,尋找串連數過多的IP地址等資訊。
iftop監控TCP串連即時網路流量,可分別分析出入流量並進行排序,尋找出流量異常的IP地址。
nethogs監控每個進程使用的網路流量,並從高到低排序,方便尋找出流量異常的進程。
strace追蹤一個進程執行的系統調用,分析木馬進程的運行情況。
strings輸出檔案中可列印的字串,可用來分析木馬程式。