记一次Linux木马清除过程

发布时间：2019-08-27 11:10:13 所属栏目：建站来源：xyl870612

导读：副标题#e# 前段时间公司发生了一起服务器入侵事件，在此分享给大家也顺便理顺下linux入侵应急响应思路。一、事件描述某天监控同事反馈有台机器cpu飙高到2000%，可能机器已经被黑。于是登录上去查看，果然有个进程名为HT8sUy71的进程在作祟，这一看名字就

f.查看有哪些ip在爆破主机的root账号

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort

g.查看爆破用户名字典

grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr

3、查找异常文件

3.1 查找cron文件中是否存在恶意脚本

/var/spool/cron/*  
/etc/crontab   
/etc/cron.d/*   
/etc/cron.daily/*   
/etc/cron.hourly/*   
/etc/cron.monthly/*   
/etc/cron.weekly/   
/etc/anacrontab       
/var/spool/anacron/*

3.2 查看最近一段时间内被修改的系统文件

find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/  -type f -mtime -T | xargs ls -la

3.3 按时间排序，确认最近是否有命令被替换，可以结合rpm -Va命令

ls -alt /usr/bin /usr/sbin /bin /usr/local/bin  
rpm -Va>rpm.log

3.4 确认是否有异常开机启动项

cat /etc/rc.local  
chkconfig --list

4.借助工具查杀病毒和rootkit

4.1 查杀rootkit

chkrootkit (下载地址-http://www.chkrootkit.org)  
rkhunter (下载地址-http://rkhunter.sourceforge.net)

4.2 查杀病毒

clamav(下载地址-http://www.clamav.net/download.html)

4.3 查杀webshell

cloudwalker(下载地址-http://github.com/chaitin/cloudwalker)

工具用法不再赘述，大家自行查阅。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

4/5

首页

尾页