Linux肉鸡清理:彻底清除病毒及恶意软件 (linux肉鸡清理)
在互联网的世界里,网络安全是一个永恒的话题。在保护自己的同时,我们也不止一次听说了Web安全领域的另外一面,也就是攻击者利用漏洞入侵他人计算机的行为。而这种入侵,通常都是利用恶意软件和病毒,对计算机进行攻击,拿走敏感信息,或者进行勒索攻击,影响计算机性能。其中,Linux作为一个开源操作系统,服务于大量的Web托管搭建,涉及计算机管理的方方面面,也成为了攻击者的目标。本文将介绍如何对Linux肉鸡进行清理,以彻底清除病毒及恶意软件。
1. 形成计划
在进行Linux肉鸡清理之前,需要了解Linux肉鸡的情况。找到系统上架构的运行已确认 Linux肉鸡是否受到了安全攻击。可以通过执行下列命令,得出Linux肉鸡的CPU性能、CPU利用率、I/O的状态、网络连接、磁盘状态以及其他一些实际表征。
“`
top –n 1 | grep loadaverage
w
netstat -an
df
“`
确认了自己的服务器被攻击之后,需要制定一个计划,然后实施。这个计划将涉及一些清理和更新操作,所以需要开始计划。
2. 清理文件与目录
检查自己的文件和目录,以确定是否有程序被植入到目标机器中,以及杀掉并移除不需要的进程。另外,需要找到所有可疑文件和目录,以供后面处理。
“`
ps aux
ps aux | grep sshd
ps aux | grep httpd
grep -r “system(” /var/www/
“`
3. 删除病毒与恶意软件
接下来,删除Linux肉鸡上的病毒和恶意软件。需要查找系统区域和其他可以预期的区域中已知的恶意软件,如果找到,则应删除它们。如果还有尚未发现的病毒和恶意软件,可以再次执行第2步预处理以发现它们。
“`
find / -type f -name ‘a.php’
find / -type f -name ‘indexb.php’
find / -type f -name ‘indexc.php’
find / -type f -name ‘indexboss.php’
find / -type f -name ‘formml.cgi’
“`
4. 应用补丁
补丁是一种修补已知漏洞的必备方式。大多数病毒和恶意软件利用已知漏洞进入计算机。因此,要确保所有可能的补丁均已安装或更新,并保持活动状态。
5. 确保备份
在清理Linux肉鸡之前,务必确保计算机重要文件的备份与还原可以正常工作。这类数据包括用户数据、系统配置和备份计划。
6. 取消不必要的权限
如果只有少数几个人以Root的身份运行计算机,那么取消所有其他用户的Root权限是不错的想法。在不必要的时候,不要打开必须的ssh(Secure Shell服务)端口。另外,尽可能应用SELinux或AppArmor等类似工具来限制应用程序的权限。
Linux肉鸡清理是一项复杂的计划,这个计划形成了一系列操作,包括寻找、清理、应用补丁以及撤销需要的安全明文密钥。通过执行上述6个步骤,可以彻底清除病毒和恶意软件,保障Linux肉鸡系统的安全稳定。在这个过程中,重要的是,务必将数据备份,以免在删除恶意软件和病毒时不慎删除了重要数据。在备份的基础上,为了尽量避免将来类似的事件再次发生,请在正常操作过程中执行防护措施,这意味着防火墙、访问控制、口令管理以及其他安全措施。
相关问题拓展阅读:
分享:linux系统是否被入侵/中毒的有关问题
一、服务器出去的带宽会跑高这个是中毒的一个特征。
因为服务器中毒之后被别人拿去利用,常见的就是拿去当肉鸡攻击别人。另外的就是拿你的数据之类的。所以服务器带宽方面需要注意下,如果服务器出去的带宽跑很高,那肯定有些异常,需要及时检查一下
二、系统里会产生多余的不明的用户
中毒或者被入侵之后会导致系统里产生一些不明用户或者登陆日志,所以这方面的检查也是可以看出一些异常的。
三、开机是否启动一些不明服务和crond任务里是否有一些来历不明的任务?
因为中毒会随系统的启动而启动的,所以一般会开机启动,检查一下启动的服务或者文件是否有异常,一般会在/etc/rc.local 和 crondtab -l 显示出来。所以要注意检查一下,以上三点都是比较常见的特征,还会有些不明显的特征需要留意下。
END
实例讲解中毒的Linux系统解决过程
在工作中碰到一次客户反馈系统经常卡,而且有时候远程连接不上。于是我就跟进这位客户,从本地以及远程检查一下他的系统,他也发现有不明的系统进程。我脑子里初步判断就是可能中毒了。
首先,我在监控里检查一下这服务器的带宽,发现服务器出去好桐唤的带宽跑很高,所以才会导致他远程不上的,这是一个原因。为什么服务器出去的带宽这么高且超出了开通的带宽值?这个原因只能进入服务器系统里检查了。
其次,我向客户询问了系统的账号密码,远程进入系统里检查了下,也看到了客户所说的不明进程。 ps -aux 命令可以查看到 ,客户反馈不是他的轮扰游戏进程,然后我使用命友凯令进行关闭。
再接着,我检查一下开机启动项 chkconfig –list | grep 3:on
服务器启动级别是3的,我检查一下了开机启动项,没有特别明显的服务。然后检查了一下开机启动的一个文件,more /etc/rc.local
看到这个文件里被添加了很多项,询问客户,并非是他添加的,所以我也注释了它。如下图
在远程的时候,我觉得还是有些卡,检查了一下系统的计划任务crond,使用crondtab -l 命令进行查看,看到很多注释行,再认真查看,也有添加的计划任务与/etc/rc.local的内容差不多。如下图,不是显示全部
与客户沟通,也不是客户添加的,客户说他也不会这些。所以后来我备份了一个这个内容,就删除了,然后停止crond任务,并chkconfig crond off 禁用它开机启动。
最后为了彻底清除危害,我检查了一下系统的登陆日志,看到除了root用户还有其它的用户登陆过。检查了一下/etc/passwd ,看到有不明的用户,询问客户并非他添加,然后使用
usermod -L XXX 禁用这些用户。 然后更新了下系统的复杂密码,然后通知客户。附一些相关图片
END
如何保障linux系统的安全
一、从以上碰到的实例来分析,密码太简单是一个错
用户名默认,密码太简单是最容易被入侵的对象,所以切忌不要使用太过于简单的密码,先前碰到的那位客户就是使用了太简单的且规则的密码 1q2w3e4r5t, 这种密码在扫描的软件里是通用的,所以很容易被别人扫描出来的。
二、不要使用默认的远程端口,避免被扫描到
扫描的人都是根据端口扫描,然后再进行密码扫描,默认的端口往往就是扫描器的对象,他们扫描一个大的IP 段,哪些开放22端口的认为是ssh服务的linux系统,所以才会猜这机器的密码。更改远程端口也是安全的一个措施
三、使用一些安全策略进行保护系统开放的端口
可以使用到iptables或者简单的文件安全配置 /etc/hosts.deny 、/etc/hosts.allow等文件进行配置。经常维护也是必须的
linux系统怎么找到肉鸡文件
制订扫描计划:扫描的IP地址和端口 建立肢碧多线程池,分配各个线程扫猛慧描任务 各线程发送连接请求,连接情况记录 连接成功的地址,发送请求报文 收取应答报文,分析枝饥答控制进程、线程是否启动,或者模组是否加载 记录肉鸡的地址端口
关于linux肉鸡清理的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
