快速識別Linux病毒
善用Google
基本上Google可以識別出99%的病毒。
搜索病毒特征
1、異常進程名,使用top命令查看系統中的進程狀態。
2、進程對應網關域名/IP,使用netstat -antp查看即可。
搜索主機可疑特征
定時任務
查看定時任務corntab -l
查看可疑腳本的內容,根據內容再來分析。
可疑文件路徑
查看主目錄的文件詳情, 不要忘記查看隱藏文件。
可疑網絡鏈接
同上,netstat -antp
常見Linux病毒家族
老一輩家族: BillGates
新生代家族: DDG、SystemdMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族: Mirai、Gafgyt
BillGates
病毒特點:
1、在/tmp目錄下有gates.lod、moni.lod文件。
2、訪問域名www.id666.pw。
3、將系統文件(ss、netstat、ps)替換成病毒的偽裝文件。
DDG
病毒特點:
1、tmp目錄下有ddgs.+數字的ELF文件。
2、存在下載i.sh的定時任務。
SystemedMiner
病毒特點:
1、訪問帶有tor2web、onion字符串的域名。
2、在/tmp目錄下有systemd*的文件(后期版本為隨機名)。
3、存在運行systemd-login的定時任務(后期版本為隨機名)。
StartMiner
病毒特點:
1、定時任務里有包含2start.jpg的字符串。
2、/tmp目錄下存在名為x86_*的病毒文件。
3、有多個病毒偽裝定時任務文件:apache、nginx、root。
WatchdogsMiner
病毒特點:
1、存在執行pastebin.com上惡意代碼的定時任務。
2、/tmp目錄下存在一個名為watchdogs的病毒文件。
XorDDos
病毒特點:
1、存在病毒文件/lib/libudev.so。
2、在/usr/bin,/bin,/lib,/tmp目錄下有隨機名病毒文件。
3、存在執行gcc.sh的定時任務。
Mirai
病毒特點:
1、多平台攻擊,病毒文件中帶有架構名。
2、由於代碼開源,Mirai每天都在變種。
常規病毒清除方法
第一步
定位進程top
清除進程kill -9 [pid]
第二步
根據進程信息定位文件ls /porc/[pid]/exe
刪除文件/文件夾rm -rf [filepath/dir_path]
第三步
檢查定時任務crontab -l或者ll /etc/cron.d
清空定時任務crontab -r
刪除指定定時任務grep -r “curl” /var/spool/cron
刪除定時任務文件rm /etc/cron.d/[file]
頑固病毒處理方法
對抗技巧
文件/定時任務刪除失敗-------------------文件只讀屬性保護
文件/定時任務刪完又出現-----------------系統文件替換/下載進程殘留
病毒進程剛剛刪完又被拉起---------------惡意進程守護
主機嚴重卡頓但找不到挖礦進程-----------系統命令劫持
主機殺干凈后一段時間又出現病毒---------ssh&漏洞再次入侵
文件/定時任務刪除失敗
刪除定時任務提示權限不足
使用lsattr查看文件屬性,通過chattr清除屬性后成功刪除
文件/定時任務刪完又出現
ss、netstat、ps、lsof命令被替換為病毒文件,需要將原文件刪掉,再將純凈的文件放進去。
存在如curl、wget等下載進程,反復下載病毒文件
定時任務/var/spool/cron/root被反復創建,殺不干凈
刪不干凈肯定是有惡意進程在守護,先把可疑進程殺掉
病毒進程刪完又被拉起
關鍵字關聯可疑進程:sh、wget、curl、xmr、mine、ssh
找到父進程,結束整個進程樹
主機卡頓但找不到挖礦進程
系統CPU占用率高,但沒發現挖礦進程
linux下獲取占用CPU資源最多的10個進程,可以使用如下命令組合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head
linux下獲取占用內存資源最多的10個進程,可以使用如下命令組合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +4|head
使用busybox的top命令,成功發現挖礦進程及母體進程
主機查殺干凈了之后又出現
Redis未授權訪問
檢查ssh是否為弱密碼,及~/.ssh/authorized_keys中是否保存有免密公鑰
