Linux系统病毒木马排查清除方法

Linux:

1.检查系统日志

检查系统错误登陆日志，统计IP重试次数（last命令是查看系统登陆日志，比如系统被reboot或登陆情况）

注：此时last命令也有可能变得不可靠，需要检查

---------------------

2.检查系统用户

查看是否有异常的系统用户

[root@yeyiboy-IDC ~]# cat /etc/passwd

查看是否产生了新用户，UID和GID为0的用户

[root@yeyiboy-IDC ~]# grep “0” /etc/passwd

查看passwd的修改时间，判断是否在不知的情况下添加用户

[root@yeyiboy-IDC ~]# ls -l /etc/passwd

查看是否存在特权用户

[root@yeyiboy ~]# awk -F: ‘3==0 {print3==0 {print1}’ /etc/passwd

查看是否存在空口令帐户

[root@yeyiboy ~]# awk -F: ‘length(2)==0 {print2)==0 {print1}’ /etc/shadow

---------------------

3.检查异常进程

top #仔细检查异常进程pid

ls -l /proc/pid/exe 查看异常进程命令所在地

4.简单判断有无木马

有无下列文件

cat /etc/rc.d/init.d/selinux

cat /etc/rc.d/init.d/DbSecuritySpt

ls /usr/bin/bsd-port

ls /usr/bin/dpkgd

查看大小是否正常

ls -lh /bin/netstat

ls -lh /bin/ps

ls -lh /usr/sbin/lsof

ls -lh /usr/sbin/ss

---------------------

删除如下目录及文件

rm -rf /usr/bin/dpkgd （ps netstat lsof ss）

rm -rf /usr/bin/bsd-port (木马程序）

rm -f /usr/local/zabbix/sbin/zabbix_AgentD （木马程序）

rm -f /usr/local/zabbix/sbin/conf.n

rm -f /usr/bin/.sshd

rm -f /usr/bin/sshd

rm -f /root/cmd.n

rm -f /root/conf.n

rm -f /root/IP

rm -f /tmp/gates.lod

rm -f /tmp/moni.lod

rm -f /tmp/notify.file 程序

rm -f /tmp/gates.lock 进程号

rm -f /etc/rc.d/init.d/DbSecuritySpt（启动上述描述的那些木马变种程序）

rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt

rm -f /etc/rc.d/init.d/selinux（默认是启动/usr/bin/bsd-port/getty）

rm -f /etc/rc.d/rc1.d/S99selinux

rm -f /etc/rc.d/rc2.d/S99selinux

rm -f /etc/rc.d/rc3.d/S99selinux

rm -f /etc/rc.d/rc4.d/S99selinux

rm -f /etc/rc.d/rc5.d/S99selinux

---------------------

然后找出下列程序进程号并杀死：

/root/ps aux |grep -i jul29（主要是最近开启的进程）

/root/ps aux |grep -i jul30

/root/ps aux |grep -i jul31

/root/ps aux |grep sshd

/root/ps aux |grep ps

/root/ps aux |grep getty

/root/ps aux |grep netstat

/root/ps aux |grep lsof

/root/ps aux |grep ss

/root/ps aux |grep zabbix_Agetntd

/root/ps aux |grep .dbus

---------------------

5.安装杀毒工具（以安装Clam AntiVirus反病毒软件包为例）：

安装

yum -y install clamav*

启动

service clamd restart

更新病毒库

freshclam

扫描方法

clamscan -r /etc –max-dir-recursion=5 -l /root/etcclamav.log

clamscan -r /bin –max-dir-recursion=5 -l /root/binclamav.log

clamscan -r /usr –max-dir-recursion=5 -l /root/usrclamav.log

clamscan -r –remove /bin/

clamscan -r –remove /usr/bin/

---------------------

6.防止系统入侵的一些建议

（1）从以往碰到的实例来分析，密码太简单是个较严重的问题

用户名默认，密码太简单是最容易被入侵的对象，所以切忌不要使用太过于简单的密码， 这种密码在扫描的软件里是通用的，所以很容易被别人扫描出来的。

（2）不要使用默认的远程端口，避免被扫描到

扫描的人都是根据端口扫描，然后再进行密码扫描，默认的端口往往就是扫描器的对象，他们扫描一个大的IP 段，哪些开放22端口且认为是ssh服务的linux系统，所以才会猜这机器的密码。更改远程端口也是安全的一个措施！

（3）使用一些安全策略进行保护系统开放的端口

使用iptables或者配置/etc/hosts.deny 和/etc/hosts.allow进行白名单设置

可以对/etc/passwd、/etc/group、/etc/sudoers、/etc/shadow等用户信息文件进行锁定（chattr +ai）