Linux如何清除木马

Linux系统高效查杀木马指南

尽管Linux以安全性著称,但绝非”免疫”木马攻击，服务器或个人主机一旦感染木马，可能导致数据泄露、资源滥用甚至成为僵尸网络节点，本文提供一套专业级查杀方案，涵盖检测、清除、防御全流程。

木马感染常见迹象（快速自查）

1. 异常资源占用
   • 使用top或htop查看CPU/内存消耗
   • 示例：top -c 按CPU排序，定位未知高负载进程
2. 可疑网络活动

   netstat -tulnp | grep ESTABLISHED  # 检查异常连接
   ss -s | grep -i "unknown"         # 统计非常规端口

3. 文件系统异常
   • 关键目录出现陌生文件（如/tmp, /dev/shm）
   • 使用find搜索近期修改的可执行文件：

     find / -type f -mtime -3 -perm /111  # 查找3天内修改的权限777文件

专业级查杀工具实战

ClamAV – 开源病毒扫描引擎

sudo apt install clamav freshclam  # Debian/Ubuntu
sudo freshclam                     # 更新病毒库
sudo clamscan -r / --infected      # 全盘扫描并显示感染文件

• 关键参数：--remove删除感染文件，--move=/quarantine隔离文件

rkhunter – 后门检测工具

sudo rkhunter --update
sudo rkhunter --check --sk        # --sk跳过交互确认

• 重点关注结果中的Warning部分，检查/etc/rc.local等启动项

chkrootkit – 根工具包检测

sudo chkrootkit -x | grep INFECTED

• 特别注意/dev/.pid等隐藏目录检测结果

LMD（Linux Malware Detect）

mkdir /opt/maldetect && cd /opt/maldetect
wget https://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzvf maldetect-*.tar.gz
./install.sh
maldet --scan-all / --report  # 全盘扫描

手动深度排查（高级技巧）

进程分析

# 对比进程树与PPID异常
ps auxf | less
pstree -ps $(pidof sshd)  # 检查关键进程派生关系

定时任务审计

# 检查系统级和用户级任务
systemctl list-timers --all
crontab -l -u root
ls -la /etc/cron.*  # 查看cron目录

内核模块检查

lsmod | grep -Ev 'nf_conntrack|xt_'  # 过滤常见模块
dmesg | grep -i "malicious"          # 内核日志关键词

SSH后门检测

# 检查异常授权密钥
grep -E '^PermitRootLogin|^AllowUsers' /etc/ssh/sshd_config
ls -l ~/.ssh/authorized_keys  # 检查修改时间

清除与修复流程

1. 隔离系统

   • 断网：ifconfig eth0 down
   • 挂载为只读：mount -o remount,ro /

2. 清除步骤

   • 终止恶意进程：kill -9 $(pidof malware)
   • 删除文件：rm -f /path/to/malware
   • 修复启动项：清理/etc/init.d/或systemctl disable service_name

3. 系统加固

   # 关键目录锁定
   chattr +i /etc/passwd /etc/shadow
   find /usr/bin /bin -type f -exec chmod 755 {} +

防御体系构建（预防胜于查杀）

1. 最小权限原则

   • 非root用户运行服务：systemctl edit service设置User=
   • 使用SELinux/AppArmor：sudo aa-enforce /etc/apparmor.d/httpd

2. 主动监控方案

   # 文件完整性监控（AIDE）
   sudo aideinit
   aide --check

3. 网络层防护

   

   • 防火墙规则（UFW）：

     sudo ufw default deny incoming
     sudo ufw allow 22/tcp

   • IDS部署：Suricata或Snort实时流量分析

4. 审计策略

   # 启用auditd日志
   sudo auditctl -w /etc/passwd -p wa -k passwd_change
   ausearch -k passwd_change | grep -i "success"

关键提示：每周自动扫描（加入cron）
0 3 * * 6 root rkhunter --cronjob --quiet

引用说明

• ClamAV官方文档
• rkhunter配置手册
• Linux Audit Framework
• CERT安全指南：SEI CERT Coding Standards

定期更新系统（sudo apt update && sudo apt upgrade）可阻止90%的已知漏洞攻击，遭遇顽固木马时，建议从可信介质启动彻底扫描，或重建系统并恢复备份数据，安全是持续过程，非一次性任务。

通过上述组合策略,可显著提升Linux系统对抗木马的能力，企业级环境建议补充HIDS（如OSSEC）实现实时响应。