linux中病毒

1. linux操作系統下的病毒如何清除

原理:利用md5值的不同進行文件的對比。

操作背景：

1. XP安裝光碟;

2. 病毒樣本;

3. U盤;

4. Ubuntu 7.10 LiveCD

5.所需的幾個對比md5和轉化二進制文件格式的程序

操作過程：

1. 全盤格式化，同時安裝Windows(也可採用ghost回去，但是一定注意其他磁碟可能的病毒感染)

2. 在剛裝好的Windows下，導出注冊表。將導出文件放入C盤根目錄下。這里我命名為1.reg

3. 進入Ubuntu系統，注意，進入前f2選擇簡體中文模式

4. 掛載C盤：

mkdir /mnt/hdd1 (生產系統C盤掛載點)

mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (將系統C盤掛載到/mnt/hdd1下，注意文件格式和設備號視具體情況而定)

5. 掛載U盤：

mkdir /mnt/usb (生成U盤掛載點)

mount -t vfat /dev/sda1 /mnt/usb (將U盤掛載到/mnt/usb下，同樣注意文件格式和設備號)

6. 將導出的注冊表信息放入U盤：

假設U盤上已經有test目錄，同時，在test目錄下有parse.sh，parseWinReg，ShowList 三個程序

cp /mnt/hdd1/1.reg /mnt/usb/test (將導出注冊表拷貝至/mnt/usb/test目錄下)

cd /mnt/usb/test (進入U盤test 目錄)

./parseWinReg 1.reg origreg (將導出注冊表進行格式轉換，生成origreg)

7. 計算C盤所有文件md5值：

rm /mnt/hdd1/pagefile.sys (這個文件太大影響計算速度，刪除)

/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/origfile (計算磁碟文件md5值，並將結果導出至U盤test目錄下origfile)

8. 重新進入Windows，同時，激發病毒文件

注意：先將病毒文件放入磁碟，拔掉U盤，拔掉網線，再激發!

9. 重復3,4,5,6,7步驟

mkdir /mnt/hdd1

mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1

mkdir /mnt/usb

mount -t vfat /dev/sda1 /mnt/usb

cp /mnt/hdd1/2.reg /mnt/usb/test (這里假設導出的注冊表是2.reg)

cd /mnt/usb/test

./parseWinReg 2.reg newreg

rm /mnt/hdd1/pagefile.sys

/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile

10. 至此，我們得到了原始的系統信息：origreg, origfile，中病毒之後的信息：newreg, newfile

11. 比較文件不同之處：diff -Nur origfile newfile > filediff

12. 比較注冊表不同之處：diff -Nur origreg newreg > regdiff

13. 分析filediff 和 regdiff，得到結論

分析小技巧：一般情況下前面出現+的就是病毒釋放的，-就是有過改動的(感染的)，如果是md5值是成雙成對出現(一個+和一個-)，那那一行一般不是,如果前面沒有任何標記，那說明也不是。咱們把沒用的刪除，只留下有單個+或者單個-的，最好看文件路徑，即得到了病毒的產生文件或者是感染文件。

2. 如何防止Linux系統中木馬

Linux上基本沒有木馬，大膽上網，反正你能遇上的都是Windows的病毒。
不過你裝了wine就另當別論了，不過Windows的病毒和木馬在Linux上無法自動運行。
樓上說裝殺軟的明顯不知道Linux是什麼。

3. linux系統會經常中毒嗎

會。

瑞星安全專家介紹，世界上沒有絕對安全的操作系統，任何系統都可能出現漏洞，Linux也不例外。國家漏洞庫的數據顯示，從2005年起，Linux系統曝出的漏洞就有3300餘個，Linux病毒也正是來源於此。

由於源代碼完全公開，黑客只要對Linux系統足夠熟悉，就可輕松利用漏洞製造病毒。瑞星的病毒庫中，已有6萬余條樣本記錄屬於Linux病毒。由此可見，從Staog誕生之日起，Linux從未擺脫過病毒的陰影。

(3)linux中病毒擴展閱讀

雖然Linux系統與Windows系統有著本質的區別，然而在病毒製作的原理方面卻並無二致。

瑞星安全專家指出，與Windows雷同，Linux病毒也大都利用漏洞獲取系統許可權，進而入侵電腦。從病毒行為來看，無論是Windows還是Linux，甚至還包括Mac、Android、IOS等系統，病毒進入電腦後只有三件事可做：

破壞系統、收集設備中的數據信息（盜取隱私信息、銀行賬戶或機密文件等）和獲取設備的控制權（為黑客開啟「後門」）。

Linux病毒的製作成本實際上比Windows病毒更加低廉。與Windows系統不同，Linux系統是一個完全開放的系統，任何人都可以獲得其完整的源代碼。

因此，黑客在製作病毒的過程中，省去了破解系統源代碼的工作，而這一環節恰恰是最復雜、成本最為高昂的環節。

4. linux伺服器中木馬怎麼處理

以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法：

一、Web Server（以Nginx為例）

1、為防止跨站感染，將虛擬主機目錄隔離（可以直接利用fpm建立多個程序池達到隔離效果）

2、上傳目錄、include類的庫文件目錄要禁止代碼執行（Nginx正則過濾）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server，隱藏Server信息

5、打開相關級別的日誌，追蹤可疑請求，請求者IP等相關信息。

二.改變目錄和文件屬性，禁止寫入

find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註：當然要排除上傳目錄、緩存目錄等；

同時最好禁止chmod函數，攻擊者可通過chmod來修改文件只讀屬性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危險函數：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL資料庫賬號安全：

禁止mysql用戶外部鏈接，程序不要使用root賬號，最好單獨建立一個有限許可權的賬號專門用於Web程序。

五.查殺木馬、後門

grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件，下載下來慢慢分析，其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找，上傳圖片肯定有也捆綁的，來次大清洗。

查找近2天被修改過的文件：

find -mtime -2 -type f -name \*.php
注意：攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找，所以touch必須禁止

六.及時給Linux系統和Web程序打補丁，堵上漏洞

5. Linux系統平台下病毒種類主要有哪些

Linux系統平台下的病毒主要分為以下4類：
1、可執行文件型病毒，這個主要就是指能夠寄生在文件中的以文件為主要感染對象的病毒。
2、蠕蟲（worm）病毒，Linux平台下的蠕蟲病毒極為猖獗，像利用系統漏洞進行傳播的ramen、lion、Slapper等，這些病毒都感染了大量的Linux系統，造成了巨大的損失。
3、腳本病毒，這樣的多為使用shell腳本語言編寫的病毒，這類病毒編寫較為簡單，但破壞力卻同樣驚人，像以.sh結尾的腳本文件，一個短短數十行的shell腳本就可以在短時間內感染硬碟中所有的腳本文件。
4、後門程序，從增加系統超級用戶帳號的簡單後門，到利用系統服務載入、共享庫文件注射、rootkit工具包，甚至可以裝載內核模塊（LKM）而產生的後門，Linux平台下的後門技術發展非常成熟，隱蔽性強，難以清除，已經成為Linux系統管理員極為頭疼的問題。

6. linux為什麼沒有病毒

Linux賬號限制

對一個二進制的Linux病毒，要感染可執行文件，這些可執行文件對啟動這個病毒的用戶一定要是可寫的。而實際情況通常並不是這樣的。實際情況通常是，程序被root擁有，用戶通過無特權的帳號運行。而且，越是沒有經驗的用戶，他擁有可執行文件的可能性就越小。因此，越是不了解這種危險的用戶的主目錄越不適合病毒繁殖。

即使這個病毒成功地感染了這個用戶擁有的一個程序，由於這個用戶許可權受限，它進一步傳播的任務也會非常困難(當然，對於運行單用戶系統的Linux新手，這個論證可能不適用。這樣的用戶可能會對root帳戶比較粗心)。

Linux網路限制

Linux網路程序構建地很保守，沒有使現在Windows病毒如此快速傳播變的可能的高級宏工具。這並不是Linux的固有特徵;它僅僅是兩種用戶基礎的不同和這種不同導致的在這兩種市場中的成功產品的不同的反映。

Linux內核和用戶空間

linux的內核和用塵蠢戶空間分得很清晰，用戶甚至可以在啟動時定義自己的init=XXX參數使得用戶空間的第一個進程是自己定義的，這種內核空間和內核空間的不耦合是十分重要的，內核在init內核線程中通過execve一個用戶進程態兄橡讓用戶接手系統，這個進程是可以自己定義的，不過一般是/sbin/init進程，這樣的結果就是即使用戶空間全部被注入了，那麼你第一，可以刪除這些骯臟的文件;第二，可以設置一個你自己定義的干凈的init進程，需要做的就是重新啟動一下系統，一切就搞定了，linux中強大shell命令使得你可以很簡單的備份一份干凈的無病毒的根文件系統，因此在linux下殺毒將是一件很簡單的事情。用戶可以自主控制用戶空間的第一個進程是這里的要點，在windows下這是很難的，你想替換smss程序，帆旁試試看，系統會提示你「請確定磁碟未滿或未被防寫而且文件未被使用」，並且system32下的dllcache也是一個讓你又愛又恨的目錄，不信的話，請手動刪除一下IE試試看。

開源的Linux

Linux的應用軟體和系統軟體幾乎都是開源的。這對病毒有兩方面的影響。首先，病毒很難藏身於開源的代碼中間。其次，對僅有二進制的病毒，一次新的編譯安裝就截斷了病毒一個主要的傳播途徑。雖然Linux發行商也提供大量的二進制軟體包，但是用戶大都是從發行商提供的可靠的軟體倉庫中下載這些軟體包，大都具有md5驗證機制，安全性極高。

一個計算機病毒，像生物病毒一樣，要想傳播開來，其繁殖速度必須超過其死亡(被消滅)的速度。上面提到的障礙有效地降低了 Linux
病毒的繁殖速度。我們沒有看到一個真正的 Linux 病毒瘋狂傳播，原因就在於存在的 Linux 病毒中沒有一個能夠在 Linux
提供的敵對的環境中茁壯成長

7. linux系統中病毒怎麼辦

可以打開騰訊智慧安全的頁面
然後在產品裡面找到御點終端全系統
接著在裡面選擇申請使用騰訊御點，再去用病毒查殺功能殺毒

8. linux病毒查殺

【2】可疑文件路徑

【3】可疑網路連接

2.常見Linux病毒家族
老一輩： BillGates
新生代家族： DDG、SystemMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族：Mirai、Gafgyt

4.三步輕松清除挖逗數閉礦病毒
【1-1】定位挖礦進程 1.top、htop
【1-2】清除挖礦進程 kill -9 [pid]
【2-1】根據進程信息定位文件 ll /proc/[pid]/exe
【2-2】刪除文件/文件夾 rm -rf [filepath/dir_path]
【3-1】檢查畢御定時任務 crontab -l , ll /etc/cron.d/
【3-2】清除定時任務 crontab -r *注意是否存在業務需要的定時任務
【3-3】刪除指定定時任務 grep -r "curl" /var/spool/cron
【3-4】 刪除定時任務文件 rm /etc/cron.d/[file]

5.頑固病毒對抗技巧

關鍵字關聯可以進程： ps -elf | grep [sh、wget、curl、xmr、山裂mine、ssh] | grep -v grep

6.主機卡頓但找不到挖礦進程
使用busybox的top命令，