识别现象
第1个环节要求我们通过系统运行状态来发现主机异常现象,以及确认病毒的可疑行为。
检查CPU占用
top
键入P 根据CPU使用百分比大小进行升序排序。
nps aux --sort=%cpu | head -n 1 && ps aux --sort=%cpu | tail
根据CPU使用百分比大小进行降序排序,取占用最高的10个进程。
枚举检查进程命令行
CPU占用率超过70%且名字比较可疑的进程,大概率就是挖矿病毒了。
nps aux
病毒一般都携带可疑的命令行,当你发现命令行中带有url、curl、wget等奇怪的字符串时,就需要确定这个进程是否为病毒的downloader程序了。
查看端口情况
netstat -tunlp
远控病毒一般会在服务器开放一个端口供远程控制,需判断端口是否为正常业务端口。
监控与目标IP通信的进程
while true; do netstat -antp | grep [IP]; done
病毒程序一般会对入侵者所规定的IP进行数据包的传递,在进程或端口查找到可疑IP后,可通过此命令查看对其通信的相关进程。
清除病毒
从第1个环节追溯到的进程信息,将会帮助我们定位到病毒进程和对应的病毒文件,实现清除。
定位病毒进程对应的文件并删除
ls -al /proc/PID/exe 定位病毒进程对应文件
rm -rf exe_path 删除该文件
清除可疑的进程
ps aux | grep PID 过滤出该进程
kill -9 PID 强行结束该进程
闭环兜底
Linux下的病毒持久化驻留方式相比于Windows较少。
查看是否存在恶意驱动
lsmod 列出所有的驱动,进行自主判断
使用相关工具进行扫描检查 ,比如rkhunter、chkrootkit等
systemctl list-unit-files | grep enabled
列出系统所有的自启动服务
系统加固
完成前三步后,我们已经基本能确保病毒不会被再次创建,剩下的我们需要对系统进行加固,来修补入侵者找到的漏洞入口。
对系统进行更新升级,及时打上漏洞补丁,并配置强口令及较为安全的防火墙策略等。
为什么选择三网教育
01
培训底蕴深厚
三网教育创立于2006年,16年耕耘,成果丰硕,已累计为苏州及周边城市培养近10000名高端IT人才,学员遍及苏州各类中、外资企业和美国、加拿大、日本、新西兰、韩国、新加坡、以及香港和澳门等国家地区。三网的客户群体覆盖了政府、金融证券、外资企业、大型国企、高校等行业。
02
专业IT认证培训考试中心
三网教育是一家拥有多家原厂授权的培训中心,目前,我们提供的培训服务涉及华为,思科,红帽,Oracle,微软,VMware,IT项目管理、云计算等技术领域,同时也是PROMETRIC授权考试中心、ATAC授权考试中心。
03
师资力量强大
三网携手业界顶尖的技术厂商,签约多名资深技术专家提供专业IT认证课程,我们拥有HCIE/CCIE/RHCA/OCM讲师,项目经验和授课经验丰富,致力于帮助学员和企业有效提升自身竞争力。
04
众多价值客户的共同选择
中国邮政、中国电信、中国移动苏州研发中心、华衍水务、博世汽车、怡和交通、苏州地震测绘研究所、山石网科、富士通、江苏天创、内蒙古神华集团等等。
- END -
微信号:sannet-edu
官方网站:www.sannet.net
咨询热线:0512-82289966