使用ClamAV等工具扫描病毒,利用rkhunter/chkrootkit检测rootkit,检查异常进程、网络连接及启动项,清理可疑文件,及时更新系统并加固安全配置。
Linux系统高效查杀木马指南
尽管Linux以安全性著称,但绝非”免疫”木马攻击,服务器或个人主机一旦感染木马,可能导致数据泄露、资源滥用甚至成为僵尸网络节点,本文提供一套专业级查杀方案,涵盖检测、清除、防御全流程。
木马感染常见迹象(快速自查)
- 异常资源占用
- 使用
top或htop查看CPU/内存消耗 - 示例:
top -c按CPU排序,定位未知高负载进程
- 使用
- 可疑网络活动
netstat -tulnp | grep ESTABLISHED # 检查异常连接 ss -s | grep -i "unknown" # 统计非常规端口
- 文件系统异常
- 关键目录出现陌生文件(如
/tmp,/dev/shm) - 使用
find搜索近期修改的可执行文件:find / -type f -mtime -3 -perm /111 # 查找3天内修改的权限777文件
- 关键目录出现陌生文件(如
专业级查杀工具实战
ClamAV – 开源病毒扫描引擎
sudo apt install clamav freshclam # Debian/Ubuntu sudo freshclam # 更新病毒库 sudo clamscan -r / --infected # 全盘扫描并显示感染文件
- 关键参数:
--remove删除感染文件,--move=/quarantine隔离文件
rkhunter – 后门检测工具
sudo rkhunter --update sudo rkhunter --check --sk # --sk跳过交互确认
- 重点关注结果中的
Warning部分,检查/etc/rc.local等启动项
chkrootkit – 根工具包检测
sudo chkrootkit -x | grep INFECTED
- 特别注意
/dev/.pid等隐藏目录检测结果
LMD(Linux Malware Detect)
mkdir /opt/maldetect && cd /opt/maldetect wget https://www.rfxn.com/downloads/maldetect-current.tar.gz tar -xzvf maldetect-*.tar.gz ./install.sh maldet --scan-all / --report # 全盘扫描
手动深度排查(高级技巧)
进程分析
# 对比进程树与PPID异常 ps auxf | less pstree -ps $(pidof sshd) # 检查关键进程派生关系
定时任务审计
# 检查系统级和用户级任务 systemctl list-timers --all crontab -l -u root ls -la /etc/cron.* # 查看cron目录
内核模块检查
lsmod | grep -Ev 'nf_conntrack|xt_' # 过滤常见模块 dmesg | grep -i "malicious" # 内核日志关键词
SSH后门检测
# 检查异常授权密钥 grep -E '^PermitRootLogin|^AllowUsers' /etc/ssh/sshd_config ls -l ~/.ssh/authorized_keys # 检查修改时间
清除与修复流程
-
隔离系统
- 断网:
ifconfig eth0 down - 挂载为只读:
mount -o remount,ro /
- 断网:
-
清除步骤
- 终止恶意进程:
kill -9 $(pidof malware) - 删除文件:
rm -f /path/to/malware - 修复启动项:清理
/etc/init.d/或systemctl disable service_name
- 终止恶意进程:
-
系统加固
# 关键目录锁定 chattr +i /etc/passwd /etc/shadow find /usr/bin /bin -type f -exec chmod 755 {} +
防御体系构建(预防胜于查杀)
-
最小权限原则
- 非root用户运行服务:
systemctl edit service设置User= - 使用SELinux/AppArmor:
sudo aa-enforce /etc/apparmor.d/httpd
- 非root用户运行服务:
-
主动监控方案
# 文件完整性监控(AIDE) sudo aideinit aide --check
-
网络层防护
- 防火墙规则(UFW):
sudo ufw default deny incoming sudo ufw allow 22/tcp
- IDS部署:Suricata或Snort实时流量分析
- 防火墙规则(UFW):
-
审计策略
# 启用auditd日志 sudo auditctl -w /etc/passwd -p wa -k passwd_change ausearch -k passwd_change | grep -i "success"
关键提示:每周自动扫描(加入cron)
0 3 * * 6 root rkhunter --cronjob --quiet
引用说明
- ClamAV官方文档
- rkhunter配置手册
- Linux Audit Framework
- CERT安全指南:SEI CERT Coding Standards
定期更新系统(
sudo apt update && sudo apt upgrade)可阻止90%的已知漏洞攻击,遭遇顽固木马时,建议从可信介质启动彻底扫描,或重建系统并恢复备份数据,安全是持续过程,非一次性任务。
通过上述组合策略,可显著提升Linux系统对抗木马的能力,企业级环境建议补充HIDS(如OSSEC)实现实时响应。
原创文章,发布者:酷盾叔,转转请注明出处:https://www.kd.cn/ask/14580.html
