Linux病毒查殺


快速識別Linux病毒

善用Google

基本上Google可以識別出99%的病毒。

搜索病毒特征

1、異常進程名,使用top命令查看系統中的進程狀態。
2、進程對應網關域名/IP,使用netstat -antp查看即可。

搜索主機可疑特征

定時任務

查看定時任務corntab -l

查看可疑腳本的內容,根據內容再來分析。

可疑文件路徑

查看主目錄的文件詳情, 不要忘記查看隱藏文件。

可疑網絡鏈接

同上,netstat -antp

常見Linux病毒家族

老一輩家族: BillGates
新生代家族: DDG、SystemdMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族: Mirai、Gafgyt

BillGates

病毒特點:
1、在/tmp目錄下有gates.lod、moni.lod文件。
2、訪問域名www.id666.pw
3、將系統文件(ss、netstat、ps)替換成病毒的偽裝文件。

DDG

病毒特點:
1、tmp目錄下有ddgs.+數字的ELF文件。
2、存在下載i.sh的定時任務。

SystemedMiner

病毒特點:
1、訪問帶有tor2web、onion字符串的域名。
2、在/tmp目錄下有systemd*的文件(后期版本為隨機名)。
3、存在運行systemd-login的定時任務(后期版本為隨機名)。

StartMiner

病毒特點:
1、定時任務里有包含2start.jpg的字符串。
2、/tmp目錄下存在名為x86_*的病毒文件。
3、有多個病毒偽裝定時任務文件:apache、nginx、root

WatchdogsMiner

病毒特點:
1、存在執行pastebin.com上惡意代碼的定時任務。
2、/tmp目錄下存在一個名為watchdogs的病毒文件。

XorDDos

病毒特點:
1、存在病毒文件/lib/libudev.so
2、在/usr/bin,/bin,/lib,/tmp目錄下有隨機名病毒文件。
3、存在執行gcc.sh的定時任務。

Mirai

病毒特點:
1、多平台攻擊,病毒文件中帶有架構名。
2、由於代碼開源,Mirai每天都在變種。

常規病毒清除方法

第一步

定位進程top
清除進程kill -9 [pid]

第二步

根據進程信息定位文件ls /porc/[pid]/exe
刪除文件/文件夾rm -rf [filepath/dir_path]

第三步

檢查定時任務crontab -l或者ll /etc/cron.d


清空定時任務crontab -r
刪除指定定時任務grep -r “curl” /var/spool/cron
刪除定時任務文件rm /etc/cron.d/[file]

頑固病毒處理方法

對抗技巧

文件/定時任務刪除失敗-------------------文件只讀屬性保護
文件/定時任務刪完又出現-----------------系統文件替換/下載進程殘留
病毒進程剛剛刪完又被拉起---------------惡意進程守護
主機嚴重卡頓但找不到挖礦進程-----------系統命令劫持
主機殺干凈后一段時間又出現病毒---------ssh&漏洞再次入侵

文件/定時任務刪除失敗

刪除定時任務提示權限不足

使用lsattr查看文件屬性,通過chattr清除屬性后成功刪除

文件/定時任務刪完又出現

ss、netstat、ps、lsof命令被替換為病毒文件,需要將原文件刪掉,再將純凈的文件放進去。

存在如curl、wget等下載進程,反復下載病毒文件

定時任務/var/spool/cron/root被反復創建,殺不干凈

刪不干凈肯定是有惡意進程在守護,先把可疑進程殺掉

病毒進程刪完又被拉起

關鍵字關聯可疑進程:sh、wget、curl、xmr、mine、ssh
找到父進程,結束整個進程樹

主機卡頓但找不到挖礦進程

系統CPU占用率高,但沒發現挖礦進程
linux下獲取占用CPU資源最多的10個進程,可以使用如下命令組合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +3|head
linux下獲取占用內存資源最多的10個進程,可以使用如下命令組合:ps aux|head -1;ps aux|grep -v PID|sort -rn -k +4|head
使用busybox的top命令,成功發現挖礦進程及母體進程

主機查殺干凈了之后又出現

Redis未授權訪問
檢查ssh是否為弱密碼,及~/.ssh/authorized_keys中是否保存有免密公鑰


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM