linux被植入木马排查思路
一、是否侵入检查
1)检查系统登录日志 last命令
2)检查系统用户
1、检查是否有异常用户 cat /etc/passwd
2、查看是否产生了新用户、uid和gid为0的用户 grep "0" /etc/passwd
3、查看passwd的修改时间,判断是否在不知情的情况下被添加用户 ls -l /etc/passwd
4、查看是否有特权用户 awk -F: '$3==0 {print $1}' /etc/passwd
3)检查异常进程
1、注意UID为0的进程
2、查看该进程打开的端口和文件 lsof -p pid
3、查看隐藏进程 ps -ef | awk '{print }' | sort -n | uniq >1
ls /porc |sort -n|uniq >2
diff 1 2
4、查看连接 netstat -a
4)检查异常文件
1、查看一定时间内文件的情况 find / -name "*" -type f -newermt '2022-08-25 00:00:00' ! -newermt '2022-08-25 23:59:59'
2、查看tomcat、nginx的比较大的.jsp .htm文件 find /目录 -name .jsp -o -size +10000k
3、查看tmp文件夹下有没有异常文件 扫描记录
5)检查系统文件完整性
1、rpm --qf /bin/ls
2、rpm -qf /bin/login
3、d5sum --b 文件名
4、md5sum --t 文件名
6)检查网络
1、ip link | grep PROMISC(正常网卡不该在promisc模式,可能存在sniffer)
2、netstat --nap(察看不正常打开的TCP/UDP端口)
7)检查系统定时任务 crontab -l
8)检查系统启动命令 cat /etc/rc.d/rc.local
9)检查系统服务 chkconfig -list
10) upload 文件
11)*.ico 文件 内存码
12)登陆权限 公钥查看 rsa
13)横向扫描命令记录 fscan
二、本次异常的解决思路
先检查是否有异常用户 发现有一个uid和gid都为0的用户,这是有了root的权限,是不正常的
然后我们就查看用户登录的日志
在相应的文件里把tomcat2用户添加的内容删除 /etc/shadow /etc/group ,异常用户直接锁定
usermod -L
查看该用户的操
查看python进程
发现都是异常用户做的,可以直接kill掉 异常的进程也直接kill掉
查看了/tmp 下 发现有异常的文件 mysqld 直接删除 扫描tomcat出来的异常的jsp js文件在备份后直接删除
异常的压缩包也可以删除
最后修改root密码为复杂密码
还可以安装杀毒软件去进行扫描
rpm安装 clamav
https://www.clamav.net/download.html 去官网下载rpm包
groupadd clamav useradd -g clamav clamav 先添加组成员
rpm -ivh clamav-0.105.rpm 二进制安装
安装成功的标志是 clamscan --version
目前还不可以正常使用 需要安装病毒库
1、cd /usr/local/etc
2、freshclam.conf.sample freshclam.conf
3、vim freshclam.conf 将Example注释
4、chmod 777 /usr/local/share/clamav 授予权限
5、输入freshclam 安装病毒库
使用:
clamscan -r -i /etc --max-dir-recursion=4 > /var/log/clamav-etc-20220815.log
扫描出的木马