本篇文章给大家谈谈linux中病毒怎么解决,以及linux防病毒措施对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
- 1、linux系统中病毒怎么办
- 2、.如果一台linux服务器中了botnet病毒,该如何排查
- 3、如何清除linux病毒
- 4、linux服务器中木马怎么处理
- 5、linux操作系统下的病毒如何清除
- 6、linux 服务器 有病毒 怎么处理
1、linux系统中病毒怎么办
linux系统当然有杀毒软件了
下面的杀毒软件都提供linux版
ClamAV
Avast Linux 家庭版
Avria 有免费版
AVG 免费版杀毒
F-PROT 杀毒
们常用的ESET NOD32,也出LINUX版本了
2、.如果一台linux服务器中了botnet病毒,该如何排查
1、病毒木马排查。
1.1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。
在服务器上发现一个大写的CRONTAB命令,然后进行命令清理及计划任务排查。
(linux常见木马,清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/sbin/lsof; cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;)
1.2、使用杀毒软件进行病毒查杀。
2、服务器漏洞排查并修复
2.1、查看服务器账号是否有异常,如有则停止删除掉。
2.2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10位及以上。
2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
2.4、查看WEB应用是否有漏洞,如struts, ElasticSearch等,如有则请升级。
2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
2.6、查看Redis无密码可远程写入文件漏洞,检查/root/.ssh/下黑客创建的SSH登录密钥文件,删除掉,修改Redis为有密码访问并使用强密码,不需要公网访问最好bind 127.0.0.1本地访问。
2.7、如果有安装第三方软件,请按官网指引进行修复。
3、如何清除linux病毒
方法/步骤
首先我们要先确定是哪台机器的网卡在向外发包,还好我们这边有zabbix监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该出现在这台机器上面
我登录到机器里面,查看了一下网卡的流量,我的天啊,居然跑了这个多流量。
这台机器主要是运行了一个tomcat WEB服务和oracle数据库,问题不应该出现在WEB服务和数据库上面,我检查了一下WEB日志,没有发现什么异常,查看数据库也都正常,也没有什么错误日志,查看系统日志,也没有看到什么异常,我赶紧查看了一下目前运行的进程情况,看看有没有什么异常的进程,一查看,果然发现几个异常进程,不仔细看还真看不出来,这些进程都是不正常的。
这是个什么进程呢,我每次ps -ef都不一样,一直在变动,进程号一一直在变动中,我想看看进程打开了什么文件都行,一时无从下手,想到这里,我突然意识到这应该都是一些子进程,由一个主进程进行管理,所以看这些子进程是没有用的,即便我杀掉他们还会有新的生成,擒贼先擒王,我们去找一下主进程,我用top d1实时查看进程使用资源的情况,看看是不是有异常的进程占用cpu内存等资源,发现了一个奇怪的进程,平时没有见过。这个应该是我们寻找的木马主进程。
我尝试杀掉这个进程,killall -9 ueksinzina,可是杀掉之后ps -ef查看还是有那些子进程,难道没有杀掉?再次top d1查看,发现有出现了一个其他的主进程,看来杀是杀不掉的,要是那么容易杀掉就不是木马了。
可以看到里面有个定时任务gcc4.sh,这个不是我们设定的,查看一下内容更加奇怪了,这个应该是监听程序死掉后来启动的,我们这边把有关的配置全部删掉,并且删掉/lib/libudev4.so。
在/etc/init.d/目录下面也发现了这个文件。
里面的内容是开机启动的信息,这个我们也给删掉
到此为止,没有新的木马进程生成,原理上说是结束掉了木马程序,后面的工作就是要清楚这些目录产生的文件,经过我寻找,首先清除/etc/init.d目录下面产生的木马启动脚本,然后清楚/etc/rc#.d/目录下面的连接文件。
后来我查看/etc目录下面文件的修改时间,发现ssh目录下面也有一个新生成的文件,不知道是不是有问题的。清理差不多之后我们就要清理刚才生成的几个文件了,一个一个目录清楚,比如"chattr -i /tmp",然后删除木马文件,以此类推删除/bin、/usr/bin目录下面的木马,到此木马清理完毕。
4、linux服务器中木马怎么处理
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:
一、Web Server(以Nginx为例)
1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)
2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新编译Web Server,隐藏Server信息
5、打开相关级别的日志,追踪可疑请求,请求者IP等相关信息。
二.改变目录和文件属性,禁止写入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
注:当然要排除上传目录、缓存目录等;
同时最好禁止chmod函数,攻击者可通过chmod来修改文件只读属性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危险函数:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL数据库账号安全:
禁止mysql用户外部链接,程序不要使用root账号,最好单独建立一个有限权限的账号专门用于Web程序。
五.查杀木马、后门
grep -r –include=*.php ‘[^a-z]eval($_POST’ . grep.txt
grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . grep.txt
把搜索结果写入文件,下载下来慢慢分析,其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找,上传图片肯定有也捆绑的,来次大清洗。
查找近2天被修改过的文件:
find -mtime -2 -type f -name \*.php
注意:攻击者可能会通过touch函数来修改文件时间属性来避过这种查找,所以touch必须禁止
六.及时给Linux系统和Web程序打补丁,堵上漏洞
5、linux操作系统下的病毒如何清除
原理:利用md5值的不同进行文件的对比。
操作背景:
1. XP安装光盘;
2. 病毒样本;
3. U盘;
4. Ubuntu 7.10 LiveCD
5.所需的几个对比md5和转化二进制文件格式的程序
操作过程:
1. 全盘格式化,同时安装Windows(也可采用ghost回去,但是一定注意其他磁盘可能的病毒感染)
2. 在刚装好的Windows下,导出注册表。将导出文件放入C盘根目录下。这里我命名为1.reg
3. 进入Ubuntu系统,注意,进入前f2选择简体中文模式
4. 挂载C盘:
mkdir /mnt/hdd1 (生产系统C盘挂载点)
mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下,注意文件格式和设备号视具体情况而定)
5. 挂载U盘:
mkdir /mnt/usb (生成U盘挂载点)
mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下,同样注意文件格式和设备号)
6. 将导出的注册表信息放入U盘:
假设U盘上已经有test目录,同时,在test目录下有parse.sh,parseWinReg,ShowList 三个程序
cp /mnt/hdd1/1.reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)
cd /mnt/usb/test (进入U盘test 目录)
./parseWinReg 1.reg origreg (将导出注册表进行格式转换,生成origreg)
7. 计算C盘所有文件md5值:
rm /mnt/hdd1/pagefile.sys (这个文件太大影响计算速度,删除)
/mnt/usb/test/parse.sh /mnt/hdd1/ /mnt/usb/origfile (计算磁盘文件md5值,并将结果导出至U盘test目录下origfile)
8. 重新进入Windows,同时,激发病毒文件
注意:先将病毒文件放入磁盘,拔掉U盘,拔掉网线,再激发!
9. 重复3,4,5,6,7步骤
mkdir /mnt/hdd1
mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1
mkdir /mnt/usb
mount -t vfat /dev/sda1 /mnt/usb
cp /mnt/hdd1/2.reg /mnt/usb/test (这里假设导出的注册表是2.reg)
cd /mnt/usb/test
./parseWinReg 2.reg newreg
rm /mnt/hdd1/pagefile.sys
/mnt/usb/test/parse.sh /mnt/hdd1/ /mnt/usb/newfile
10. 至此,我们得到了原始的系统信息:origreg, origfile,中病毒之后的信息:newreg, newfile
11. 比较文件不同之处:diff -Nur origfile newfile filediff
12. 比较注册表不同之处:diff -Nur origreg newreg regdiff
13. 分析filediff 和 regdiff,得到结论
分析小技巧:一般情况下前面出现+的就是病毒释放的,-就是有过改动的(感染的),如果是md5值是成双成对出现(一个+和一个-),那那一行一般不是,如果前面没有任何标记,那说明也不是。咱们把没用的删除,只留下有单个+或者单个-的,最好看文件路径,即得到了病毒的产生文件或者是感染文件。
6、linux 服务器 有病毒 怎么处理
先去打开腾讯智慧安全页面
然后去申请御点终端安全系统
再去使用腾讯御点,里面的病毒查杀功能杀毒即可
关于linux中病毒怎么解决和linux防病毒措施的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。