linux中病毒

1. linux操作系统下的病毒如何清除

原理:利用md5值的不同进行文件的对比。

操作背景：

1. XP安装光盘;

2. 病毒样本;

3. U盘;

4. Ubuntu 7.10 LiveCD

5.所需的几个对比md5和转化二进制文件格式的程序

操作过程：

1. 全盘格式化，同时安装Windows(也可采用ghost回去，但是一定注意其他磁盘可能的病毒感染)

2. 在刚装好的Windows下，导出注册表。将导出文件放入C盘根目录下。这里我命名为1.reg

3. 进入Ubuntu系统，注意，进入前f2选择简体中文模式

4. 挂载C盘：

mkdir /mnt/hdd1 (生产系统C盘挂载点)

mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下，注意文件格式和设备号视具体情况而定)

5. 挂载U盘：

mkdir /mnt/usb (生成U盘挂载点)

mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下，同样注意文件格式和设备号)

6. 将导出的注册表信息放入U盘：

假设U盘上已经有test目录，同时，在test目录下有parse.sh，parseWinReg，ShowList 三个程序

cp /mnt/hdd1/1.reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)

cd /mnt/usb/test (进入U盘test 目录)

./parseWinReg 1.reg origreg (将导出注册表进行格式转换，生成origreg)

7. 计算C盘所有文件md5值：

rm /mnt/hdd1/pagefile.sys (这个文件太大影响计算速度，删除)

/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/origfile (计算磁盘文件md5值，并将结果导出至U盘test目录下origfile)

8. 重新进入Windows，同时，激发病毒文件

注意：先将病毒文件放入磁盘，拔掉U盘，拔掉网线，再激发!

9. 重复3,4,5,6,7步骤

mkdir /mnt/hdd1

mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1

mkdir /mnt/usb

mount -t vfat /dev/sda1 /mnt/usb

cp /mnt/hdd1/2.reg /mnt/usb/test (这里假设导出的注册表是2.reg)

cd /mnt/usb/test

./parseWinReg 2.reg newreg

rm /mnt/hdd1/pagefile.sys

/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile

10. 至此，我们得到了原始的系统信息：origreg, origfile，中病毒之后的信息：newreg, newfile

11. 比较文件不同之处：diff -Nur origfile newfile > filediff

12. 比较注册表不同之处：diff -Nur origreg newreg > regdiff

13. 分析filediff 和 regdiff，得到结论

分析小技巧：一般情况下前面出现+的就是病毒释放的，-就是有过改动的(感染的)，如果是md5值是成双成对出现(一个+和一个-)，那那一行一般不是,如果前面没有任何标记，那说明也不是。咱们把没用的删除，只留下有单个+或者单个-的，最好看文件路径，即得到了病毒的产生文件或者是感染文件。

2. 如何防止Linux系统中木马

Linux上基本没有木马，大胆上网，反正你能遇上的都是Windows的病毒。
不过你装了wine就另当别论了，不过Windows的病毒和木马在Linux上无法自动运行。
楼上说装杀软的明显不知道Linux是什么。

3. linux系统会经常中毒吗

会。

瑞星安全专家介绍，世界上没有绝对安全的操作系统，任何系统都可能出现漏洞，Linux也不例外。国家漏洞库的数据显示，从2005年起，Linux系统曝出的漏洞就有3300余个，Linux病毒也正是来源于此。

由于源代码完全公开，黑客只要对Linux系统足够熟悉，就可轻松利用漏洞制造病毒。瑞星的病毒库中，已有6万余条样本记录属于Linux病毒。由此可见，从Staog诞生之日起，Linux从未摆脱过病毒的阴影。

(3)linux中病毒扩展阅读

虽然Linux系统与Windows系统有着本质的区别，然而在病毒制作的原理方面却并无二致。

瑞星安全专家指出，与Windows雷同，Linux病毒也大都利用漏洞获取系统权限，进而入侵电脑。从病毒行为来看，无论是Windows还是Linux，甚至还包括Mac、Android、IOS等系统，病毒进入电脑后只有三件事可做：

破坏系统、收集设备中的数据信息（盗取隐私信息、银行账户或机密文件等）和获取设备的控制权（为黑客开启“后门”）。

Linux病毒的制作成本实际上比Windows病毒更加低廉。与Windows系统不同，Linux系统是一个完全开放的系统，任何人都可以获得其完整的源代码。

因此，黑客在制作病毒的过程中，省去了破解系统源代码的工作，而这一环节恰恰是最复杂、成本最为高昂的环节。

4. linux服务器中木马怎么处理

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：

一、Web Server（以Nginx为例）

1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）

2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新编译Web Server，隐藏Server信息

5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。

二.改变目录和文件属性，禁止写入

find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
注：当然要排除上传目录、缓存目录等；

同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危险函数：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL数据库账号安全：

禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。

五.查杀木马、后门

grep -r –include=*.php ‘[^a-z]eval($_POST’ . > grep.txt
grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . > grep.txt
把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

查找近2天被修改过的文件：

find -mtime -2 -type f -name \*.php
注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

六.及时给Linux系统和Web程序打补丁，堵上漏洞

5. Linux系统平台下病毒种类主要有哪些

Linux系统平台下的病毒主要分为以下4类：
1、可执行文件型病毒，这个主要就是指能够寄生在文件中的以文件为主要感染对象的病毒。
2、蠕虫（worm）病毒，Linux平台下的蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen、lion、Slapper等，这些病毒都感染了大量的Linux系统，造成了巨大的损失。
3、脚本病毒，这样的多为使用shell脚本语言编写的病毒，这类病毒编写较为简单，但破坏力却同样惊人，像以.sh结尾的脚本文件，一个短短数十行的shell脚本就可以在短时间内感染硬盘中所有的脚本文件。
4、后门程序，从增加系统超级用户帐号的简单后门，到利用系统服务加载、共享库文件注射、rootkit工具包，甚至可以装载内核模块（LKM）而产生的后门，Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除，已经成为Linux系统管理员极为头疼的问题。

6. linux为什么没有病毒

Linux账号限制

对一个二进制的Linux病毒，要感染可执行文件，这些可执行文件对启动这个病毒的用户一定要是可写的。而实际情况通常并不是这样的。实际情况通常是，程序被root拥有，用户通过无特权的帐号运行。而且，越是没有经验的用户，他拥有可执行文件的可能性就越小。因此，越是不了解这种危险的用户的主目录越不适合病毒繁殖。

即使这个病毒成功地感染了这个用户拥有的一个程序，由于这个用户权限受限，它进一步传播的任务也会非常困难(当然，对于运行单用户系统的Linux新手，这个论证可能不适用。这样的用户可能会对root帐户比较粗心)。

Linux网络限制

Linux网络程序构建地很保守，没有使现在Windows病毒如此快速传播变的可能的高级宏工具。这并不是Linux的固有特征;它仅仅是两种用户基础的不同和这种不同导致的在这两种市场中的成功产品的不同的反映。

Linux内核和用户空间

linux的内核和用尘蠢户空间分得很清晰，用户甚至可以在启动时定义自己的init=XXX参数使得用户空间的第一个进程是自己定义的，这种内核空间和内核空间的不耦合是十分重要的，内核在init内核线程中通过execve一个用户进程态兄橡让用户接手系统，这个进程是可以自己定义的，不过一般是/sbin/init进程，这样的结果就是即使用户空间全部被注入了，那么你第一，可以删除这些肮脏的文件;第二，可以设置一个你自己定义的干净的init进程，需要做的就是重新启动一下系统，一切就搞定了，linux中强大shell命令使得你可以很简单的备份一份干净的无病毒的根文件系统，因此在linux下杀毒将是一件很简单的事情。用户可以自主控制用户空间的第一个进程是这里的要点，在windows下这是很难的，你想替换smss程序，帆旁试试看，系统会提示你“请确定磁盘未满或未被写保护而且文件未被使用”，并且system32下的dllcache也是一个让你又爱又恨的目录，不信的话，请手动删除一下IE试试看。

开源的Linux

Linux的应用软件和系统软件几乎都是开源的。这对病毒有两方面的影响。首先，病毒很难藏身于开源的代码中间。其次，对仅有二进制的病毒，一次新的编译安装就截断了病毒一个主要的传播途径。虽然Linux发行商也提供大量的二进制软件包，但是用户大都是从发行商提供的可靠的软件仓库中下载这些软件包，大都具有md5验证机制，安全性极高。

一个计算机病毒，像生物病毒一样，要想传播开来，其繁殖速度必须超过其死亡(被消灭)的速度。上面提到的障碍有效地降低了 Linux
病毒的繁殖速度。我们没有看到一个真正的 Linux 病毒疯狂传播，原因就在于存在的 Linux 病毒中没有一个能够在 Linux
提供的敌对的环境中茁壮成长

7. linux系统中病毒怎么办

可以打开腾讯智慧安全的页面
然后在产品里面找到御点终端全系统
接着在里面选择申请使用腾讯御点，再去用病毒查杀功能杀毒

8. linux病毒查杀

【2】可疑文件路径

【3】可疑网络连接

2.常见Linux病毒家族
老一辈： BillGates
新生代家族： DDG、SystemMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族：Mirai、Gafgyt

4.三步轻松清除挖逗数闭矿病毒
【1-1】定位挖矿进程 1.top、htop
【1-2】清除挖矿进程 kill -9 [pid]
【2-1】根据进程信息定位文件 ll /proc/[pid]/exe
【2-2】删除文件/文件夹 rm -rf [filepath/dir_path]
【3-1】检查毕御定时任务 crontab -l , ll /etc/cron.d/
【3-2】清除定时任务 crontab -r *注意是否存在业务需要的定时任务
【3-3】删除指定定时任务 grep -r "curl" /var/spool/cron
【3-4】 删除定时任务文件 rm /etc/cron.d/[file]

5.顽固病毒对抗技巧

关键字关联可以进程： ps -elf | grep [sh、wget、curl、xmr、山裂mine、ssh] | grep -v grep

6.主机卡顿但找不到挖矿进程
使用busybox的top命令，