原創作品，允許轉載，轉載時請務必以超鏈接形式標明文章?原始出處?、作者信息和本聲明。否則將追究法律責任。http://qicheng0211.blog.51cto.com/3958621/1928738

? ? 前段時間公司網絡異常，訪問公網和內網都出現丟包，甚至無法訪問的情況。登錄網關查看監控，發現OA服務器的出方向流量異常，并連接了一個國外IP地址。

? ? 然后想登錄OA服務器排查，發現登錄不上，ping丟包嚴重，猜測服務器的CPU、連接數或帶寬被占滿，導致無法登錄。

? ? OA服務器是部署在一臺Esxi上的虛擬機，Esxi主機也登錄不上了，首先拔掉了Esxi的網線，阻止服務器對外發包。

? ? 然后把網線插到了筆記本上，與Esxi服務器直連，并將筆記本設置為網關的IP192.168.1.1，這樣就能ping通OA的服務器了，然后遠程進去。

? ? 經過一個上午的查殺，木馬已被清除，并做好了防火墻優化、OA進程低權限運行、打安全補丁等加固措施。

? ? 之后查找入侵的蛛絲馬跡，發現黑客是通過OA軟件漏洞，植入了木馬程序，所有操作都記錄在OA的日志里了，汗。。最后聯系廠商提交了軟件漏洞。

? ? 木馬查殺只能是最后的補救手段，減少損失。最重要的還是提高安全意識，所有對外的服務器要進行系統加固、監控、操作審計、及時打補丁。博客地址：http://qicheng0211.blog.51cto.com

????下面總結一下Linux下木馬查殺經驗。

一、查找入侵痕跡

查看最近登錄的賬戶和登錄時間：

last,lastlog

查找遠程登錄成功的IP：

grep -i Accepted /var/log/secure

檢查計劃任務：

/var/spool/cron/

/etc/cron.hourly

/etc/crontab

通過文件狀態最后修改時間來查找木馬文件：

find / -ctime 1

檢查/etc/passwd和/etc/shadow文件，是否有可疑用戶。

檢查臨時目錄/tmp、/vat/tmp、/dev/shm，這些目錄權限是1777，容易被上傳木馬文件。

查看端口對外的服務日志，比如tomcat、nginx。

查看當前運行的服務：

service --status-all | grep running

查看自啟動的服務：

chkconfig --list | grep :on

二、查殺木馬常用命令

1. ps,top

查看運行的進程和進程系統資源占用情況，查找異常進程。

2. pstree

以樹狀圖的形式顯示進程間的關系。

3. lsof

可以查看進程打開的文件、文件或目錄被哪個進程占用、打開某個端口的進程、系統所有打開的端口等等。

4. netstat

可以查看系統監聽的所有端口、網絡連接情況、查找連接數過多的IP地址等。

5. iftop

監控TCP連接實時網絡流量，可分別分析出入流量并進行排序，查找出流量異常的IP地址。

6. nethogs

監控每個進程使用的網絡流量，并從高到低排序，方便查找出流量異常的進程。

7. strace

追蹤一個進程所執行的系統調用，可分析木馬進程的運行情況。

8. strings

輸出文件中可打印的字符串，可用來分析木馬程序。

三、rootkit檢測工具

? ? chkrootkit和rkhunter是Linux下常用的查找檢測rootkit后門的工具。

1、chkrootkit

? ? 項目主頁：http://www.chkrootkit.org/

? ? 安裝chkrootkit：

# wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

# tar zxvf chkrootkit.tar.gz

# cd chkrootkit-*

# yum install gcc gcc-c++ glibc* make

# make sense

? ? 運行檢查：

# ./chkrootkit

? ? chkrootkit檢查使用了部分系統命令: awk, cut, egrep, find, head, id, ls, netstat, ps, strings, sed, uname。

? ? 在被入侵的系統上這些系統命令可能已被替換，因此chkrootkit的結果將不可靠。為了避免使用這些不受信任的命令，我們可以使用'-p'選項指定命令的備用路徑。

? ? 首先在另一個干凈的系統里備份依賴命令：

# mkdir /backup/commands -p

# which --skip-alias awk cut egrep find head id ls netstat ps strings sed uname | xargs -i cp {} /backup/commands

# tar cvzfP commands.tar.gz /backup/commands

? ? 然后把壓縮包上傳至服務器，解壓后放在/backup/commands目錄下,執行檢查：

# ./chkrootkit -p /backup/commands

2、rkhunter

? ? rkhunter具有比chrootkit更為全面的掃描范圍。除rootkit特征碼掃描外，rkhunter還支持端口掃描，常用開源軟件版本和文件變動情況檢查等。

? ? 項目主頁：http://rkhunter.sourceforge.net/

? ? 安裝rkhunter：

# wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

# tar xzvf rkhunter*

# cd rkhunter*

# ./installer.sh --layout /usr --install

? ? 更新rkhunter數據庫：

# rkhunter --update

? ? 開始檢查（輸出中文）：

# rkhunter --lang cn -c --sk

? ? --rwo參數僅輸出warning信息：

# rkhunter --lang cn -c --sk --rwo

? ? 我們還可以用-l參數指定寫入的日志：

# rkhunter --lang cn -c --sk -l rkhunter.log

? ? 為干凈的系統建立校對樣本：

# rkhunter --propupd

? ? 定時掃描：

0 5 * * * /usr/local/bin/rkhunter --cronjob -l --rwo

四、clamav殺毒引擎

? ? clamav是用于檢測木馬，病毒，惡意軟件和其他惡意威脅的一個開源殺毒引擎。支持Windows、Linux、Mac OS X多種操作系統。

? ? 項目地址：http://www.clamav.net/

? ? 首先安裝epel軟件源：

# wget http://mirrors.sohu.com/fedora-epel/6/x86_64/epel-release-6-8.noarch.rpm

# rpm -ivh epel-release-6-8.noarch.rpm

# sed -i 's/^mirrorlist=https/mirrorlist=http/' /etc/yum.repos.d/epel.repo

# yum makecache fast

? ? 下載安裝clamav：

# yum install yum-plugin-downloadonly -y

# yum install clamav -y --downloadonly --downloaddir=./

# rpm -ivh clamav*

? ? clamav會在/etc/cron.daily/目錄下建立自動更新病毒庫的腳本，每天自動執行。

? ? 手動更新病毒庫命令：

# freshclam

? ? 查看病毒庫日期：

# clamscan -V

? ? 使用clamav進行根目錄掃描:

# clamscan -r -i / -l /tmp/clamav.log

? ? 進一步掃描可疑目錄，并移除木馬文件

# clamscan -r -i /usr/bin --remove

-r 文件夾遞歸掃描

-i 僅輸出受感染文件信息

-l 指定掃描日志文件路徑

--move 移動受感染文件到指定目錄

--remove 直接移除受感染文件

? ? 我們還可以手動下載病毒庫：

http://db.cn.clamav.net/daily.cvd?

http://db.cn.clamav.net/main.cvd?

http://db.cn.clamav.net/safebrowsing.cvd?

http://db.cn.clamav.net/bytecode.cvd

? ? 下載后放入一個文件夾內，掃描時我們可以使用-d參數指定病毒庫文件夾路徑，比如：

# clamscan -r -i / -d ./clamav-db

本文出自 “啟程的Linux博客” 博客，請務必保留此出處http://qicheng0211.blog.51cto.com/3958621/1928738

總結

以上是生活随笔為你收集整理的Linux查杀木马经验总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。