1. linux系統中病毒怎麼辦
可以打開騰訊智慧安全的頁面
然後在產品裡面找到御點終端全系統
接著在裡面選擇申請使用騰訊御點,再去用病毒查殺功能殺毒
2. linux操作系統下的病毒如何清除
原理:利用md5值的不同進行文件的對比。
操作背景:
1. XP安裝光碟;
2. 病毒樣本;
3. U盤;
4. Ubuntu 7.10 LiveCD
5.所需的幾個對比md5和轉化二進制文件格式的程序
操作過程:
1. 全盤格式化,同時安裝Windows(也可採用ghost回去,但是一定注意其他磁碟可能的病毒感染)
2. 在剛裝好的Windows下,導出注冊表。將導出文件放入C盤根目錄下。這里我命名為1.reg
3. 進入Ubuntu系統,注意,進入前f2選擇簡體中文模式
4. 掛載C盤:
mkdir /mnt/hdd1 (生產系統C盤掛載點)
mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (將系統C盤掛載到/mnt/hdd1下,注意文件格式和設備號視具體情況而定)
5. 掛載U盤:
mkdir /mnt/usb (生成U盤掛載點)
mount -t vfat /dev/sda1 /mnt/usb (將U盤掛載到/mnt/usb下,同樣注意文件格式和設備號)
6. 將導出的注冊表信息放入U盤:
假設U盤上已經有test目錄,同時,在test目錄下有parse.sh,parseWinReg,ShowList 三個程序
cp /mnt/hdd1/1.reg /mnt/usb/test (將導出注冊表拷貝至/mnt/usb/test目錄下)
cd /mnt/usb/test (進入U盤test 目錄)
./parseWinReg 1.reg origreg (將導出注冊表進行格式轉換,生成origreg)
7. 計算C盤所有文件md5值:
rm /mnt/hdd1/pagefile.sys (這個文件太大影響計算速度,刪除)
/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/origfile (計算磁碟文件md5值,並將結果導出至U盤test目錄下origfile)
8. 重新進入Windows,同時,激發病毒文件
注意:先將病毒文件放入磁碟,拔掉U盤,拔掉網線,再激發!
9. 重復3,4,5,6,7步驟
mkdir /mnt/hdd1
mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1
mkdir /mnt/usb
mount -t vfat /dev/sda1 /mnt/usb
cp /mnt/hdd1/2.reg /mnt/usb/test (這里假設導出的注冊表是2.reg)
cd /mnt/usb/test
./parseWinReg 2.reg newreg
rm /mnt/hdd1/pagefile.sys
/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile
10. 至此,我們得到了原始的系統信息:origreg, origfile,中病毒之後的信息:newreg, newfile
11. 比較文件不同之處:diff -Nur origfile newfile > filediff
12. 比較注冊表不同之處:diff -Nur origreg newreg > regdiff
13. 分析filediff 和 regdiff,得到結論
分析小技巧:一般情況下前面出現+的就是病毒釋放的,-就是有過改動的(感染的),如果是md5值是成雙成對出現(一個+和一個-),那那一行一般不是,如果前面沒有任何標記,那說明也不是。咱們把沒用的刪除,只留下有單個+或者單個-的,最好看文件路徑,即得到了病毒的產生文件或者是感染文件。
3. linux伺服器中木馬怎麼處理
以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法:
一、Web Server(以Nginx為例)
1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程序池達到隔離效果)
2、上傳目錄、include類的庫文件目錄要禁止代碼執行(Nginx正則過濾)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server,隱藏Server信息
5、打開相關級別的日誌,追蹤可疑請求,請求者IP等相關信息。
二.改變目錄和文件屬性,禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註:當然要排除上傳目錄、緩存目錄等;
同時最好禁止chmod函數,攻擊者可通過chmod來修改文件只讀屬性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危險函數:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL資料庫賬號安全:
禁止mysql用戶外部鏈接,程序不要使用root賬號,最好單獨建立一個有限許可權的賬號專門用於Web程序。
五.查殺木馬、後門
grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件,下載下來慢慢分析,其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找,上傳圖片肯定有也捆綁的,來次大清洗。
查找近2天被修改過的文件:
find -mtime -2 -type f -name \*.php
注意:攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找,所以touch必須禁止
六.及時給Linux系統和Web程序打補丁,堵上漏洞
4. Linux centos 6.5 異常進程與木馬查殺
都說Linux主機是非常安全的,但有時卻不見得,第二次碰上Linux中木馬了(我運氣這么好?)。
廢話不多說,直接進入主題。
一、狀況描述:
1、2017.06.19早上過來發現ssh連接不上,以及各個官網都訪問不了;
2、通過雲主機廠商後台登錄,發現nginx、tomcat、svn應用全部停止;
3、ping www.google.com (雲主機在US) 不通;
二、問題定位:
應該是雲主機被重啟了,同時斷開了外網(有些應用沒有設置為自啟動),於是重啟公網的網卡後,ssh就可以登錄了,手工啟動了nginx、
omcat、svn等應用,因為上次也發生過幾次這樣的情況,據雲廠商反饋,雲主機對外發送大量的網路包,導致流量巨大,具體在Linux主機上的
體現就是cpu一直100%左右撐死,於是我懷疑是不是這次也是對外發送巨大的流量包,導致雲主機廠商斷了主機的外網呢?通過top命令查看
進程發現並沒有cpu佔用過高的進程,就ifconfig 查看了下網卡情況,顯示網卡流量在2.4G左右(由於是事後了,沒有截到先前的圖),感覺很迅
速,於是我就又斷開了一次,就沒管了,到中午午休後,下午再次使用ifconfig,此時流量對外發送大量的流量包,累計流量竟然高達140G左右
(後面處理了,就累加了一點):
這情況顯示,肯定是中木馬,由於Linux主機上面沒有安裝一些關於流量分析的軟體,只從常用的top命令開始,發現並沒有cpu佔用很高的進程,
但發現有兩個從來沒見過的進程:MuYuHang 、LTF,通過 /proc/進程id 進入對應進程文件,ls -lh,發現可執行文件竟然指向了Tomcat bin目錄
跟上次又是多麼的相似,只是進程和文件名不一樣罷了,於是簡單的操作,kill -9 pid ,結果操作無效,很快進程起來,而且文件刪除不了,報
operation not permitted(我可是用root用戶執行的,難道還有root幹不了的事情?具體了解可查看資料 lsattr和),刪除後,過一會兒又自動恢
復。
三、ClamAV工具
關於ClamAV工具的用途以及安裝,請網路搜索相關介紹和安裝資料,大概說一下,ClamAV是Linux平台的一個木馬掃描工具,可以掃描哪些
文件被感染了(但不能自動清除這些病毒,沒有windows上面的殺毒軟體那麼強大),我安裝在/home/clamav目錄下。
四、解決辦法
通過命令 /home/clamav/bin/clamscan -r --bell -i /,掃描這個根目錄發現有不少的文件被感染了:
發現tomcat bin目錄下的2個文件果然是被感染的了,同時發現有幾個命令也被感染了如ps、netstat以及lsof,於是我清除了bsd-port這個目
錄,同時把pythno清理,對於命令可以通過,從同版本的linux 沒有問題的linux主機上面過來,刪除後進行覆蓋即可(也可以刪除重裝),
再把tomcat的文件刪除,以及異常的進程kill掉,再用clamav掃描發現沒有了,最後還需要檢查下/etc/init.d這個開機啟動的文件,檢查裡面自動啟
動的,我這個裡面就發現先前指向 /user/bin/bsd-port/knerl 這個,文件已經刪除了,我同時把對應的sh,注釋掉。目前來看,一切正常了。。。
五、總結
一次比較完整的定位問題,平時一般很少接觸到查收木馬的事情,碰上了就當學習,提升技能,只是不足,沒有搞清木馬是如何進來的,這
個需要後續不斷的學習。心好累,Linux主機第二次中木馬了。。。。