centos 如何排查木马
最新回答
初时模样
2022-02-22 08:21:39
在CentOS系统中排查木马,可通过检查异常进程、网络连接、定时任务、启动项,并使用杀毒软件扫描等方法进行综合排查。
1. 检查异常进程木马程序常以隐蔽进程形式运行,可能占用大量CPU或内存资源。使用以下命令排查:
- ps aux | grep -E 'miner|cryptonight|xmrig':直接搜索与挖矿相关的进程名(常见于加密货币挖矿木马)。
- top:动态查看系统资源占用情况,重点关注高CPU或内存占用的未知进程。
- 若发现可疑进程,通过ls -l /proc/[PID]/exe(替换[PID]为进程ID)查看其实际文件路径,确认是否为合法程序。
木马可能通过异常端口与外部服务器通信。执行以下命令:
- netstat -antp | grep -E '3333|4444|5555|cryptonight':检查是否连接到常见木马端口或挖矿协议端口。
- ss -tulnp:更详细的网络连接分析,重点关注非标准端口的连接。
- 若发现可疑IP或端口,可通过whois [IP]或traceroute [IP]进一步追踪来源。
黑客常通过定时任务实现木马持久化。检查以下位置:
- crontab -l:查看当前用户的定时任务。
- cat /etc/crontab:检查系统级定时任务。
- ls /etc/cron.*/*:遍历所有定时任务目录(如cron.hourly、cron.daily)。
- /var/spool/cron/:所有用户的计划任务文件均存储在此,检查非root用户的异常任务。
木马可能通过服务或启动脚本实现开机自启。使用以下命令:
- systemctl list-unit-files --type=service | grep enabled:列出所有已启用的服务,重点关注未知服务。
- chkconfig --list(CentOS 6或更早版本):检查SysVinit服务的启动状态。
- 若发现可疑服务,通过systemctl status [服务名]或cat /etc/init.d/[服务名]查看其详细信息。
安装ClamAV等工具进行全盘扫描:
- 安装EPEL仓库:sudo yum install epel-release
- 安装ClamAV:sudo yum install clamav clamav-update clamav-scanner-systemd
- 更新病毒库:sudo freshclam
- 执行扫描:sudo clamscan -r /(全盘扫描)或sudo clamscan -r /home(扫描用户目录)。
注意事项:
- 排查前建议备份重要数据,避免误删系统文件。
- 若发现木马,需彻底删除可疑文件、清理定时任务和启动项,并修改所有密码(包括root和用户密码)。
- 定期更新系统和软件,关闭不必要的端口和服务,降低被入侵风险。
热门标签
