linux内存木马_linux木马程序

Linux centos 6.5 异常进程与木马查杀

        都说Linux主机是非常安全的，但有时却不见得，第二次碰上Linux中木马了（我运气这么好？）。

废话不多说，直接进入主题。

一、状况描述：

       1、2017.06.19早上过来发现ssh连接不上，以及各个官网都访问不了；

        2、通过云主机厂商后台登录，发现nginx、tomcat、svn应用全部停止；

        3、ping (云主机在US) 不通；

二、问题定位：

        应该是云主机被重启了，同时断开了外网（有些应用没有设置为自启动），于是重启公网的网卡后，ssh就可以登录了，手工启动了nginx、

omcat、svn等应用，因为上次也发生过几次这样的情况，据云厂商反馈，云主机对外发送大量的 *** 包，导致流量巨大，具体在Linux主机上的

体现就是cpu一直100%左右撑死，于是我怀疑是不是这次也是对外发送巨大的流量包，导致云主机厂商断了主机的外网呢？通过top命令查看

进程发现并没有cpu占用过高的进程，就ifconfig 查看了下网卡情况，显示网卡流量在2.4G左右（由于是事后了，没有截到先前的图），感觉很迅

速，于是我就又断开了一次，就没管了，到中午午休后，下午再次使用ifconfig，此时流量对外发送大量的流量包，累计流量竟然高达140G左右

（后面处理了，就累加了一点）：

这情况显示，肯定是中木马，由于Linux主机上面没有安装一些关于流量分析的软件，只从常用的top命令开始，发现并没有cpu占用很高的进程，

但发现有两个从来没见过的进程：MuYuHang 、LTF，通过 /proc/进程id 进入对应进程文件，ls -lh，发现可执行文件竟然指向了Tomcat bin目录

跟上次又是多么的相似，只是进程和文件名不一样罢了，于是简单的操作，kill -9 pid  ，结果操作无效，很快进程起来，而且文件删除不了，报

operation not permitted（我可是用root用户执行的，难道还有root干不了的事情？具体了解可查看资料 lsattr和），删除后，过一会儿又自动恢

复。

三、ClamAV工具

       关于ClamAV工具的用途以及安装，请百度搜索相关介绍和安装资料，大概说一下，ClamAV是Linux平台的一个木马扫描工具，可以扫描哪些

文件被感染了（但不能自动清除这些病毒，没有windows上面的杀毒软件那么强大），我安装在/home/clamav目录下。

四、解决办法

      通过命令 /home/clamav/bin/clamscan -r --bell -i /，扫描这个根目录发现有不少的文件被感染了：

       发现tomcat bin目录下的2个文件果然是被感染的了，同时发现有几个命令也被感染了如ps、netstat以及lsof，于是我清除了bsd-port这个目

录，同时把pythno清理，对于命令可以通过，从同版本的linux 没有问题的linux主机上面copy过来，删除后进行覆盖即可（也可以删除重装），

再把tomcat的文件删除，以及异常的进程kill掉，再用clamav扫描发现没有了，最后还需要检查下/etc/init.d这个开机启动的文件，检查里面自动启

动的，我这个里面就发现先前指向 /user/bin/bsd-port/knerl 这个，文件已经删除了，我同时把对应的sh，注释掉。目前来看，一切正常了。。。

五、总结

        一次比较完整的定位问题，平时一般很少接触到查收木马的事情，碰上了就当学习，提升技能，只是不足，没有搞清木马是如何进来的，这

个需要后续不断的学习。心好累，Linux主机第二次中木马了。。。。

linux服务器中木马怎么处理

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的 *** ：

一、Web Server（以Nginx为例）

1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）

2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {

set $php_url $1;

　 　}

if (!-e $php_url.php) {

return 404;

　}

4、重新编译Web Server，隐藏Server信息

5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。

二.改变目录和文件属性，禁止写入

find -type f -name \*.php -exec chmod 444 {} \;

find -type d -exec chmod 555 {} \;

注：当然要排除上传目录、缓存目录等；

同时更好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危险函数：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg

四.MySQL数据库账号安全：

禁止mysql用户外部链接，程序不要使用root账号，更好单独建立一个有限权限的账号专门用于Web程序。

五.查杀木马、后门

grep -r –include=*.php ‘[^a-z]eval($_POST’ . grep.txt

grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . grep.txt

把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

查找近2天被修改过的文件：

find -mtime -2 -type f -name \*.php

注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

六.及时给Linux系统和Web程序打补丁，堵上漏洞

linux9527木马怎么清楚

linux系统中，木马病毒程序无法运行的，你只要找到木马文件，删除就可以了。

Linux系统如何清除木马

可以直接腾讯电脑管家查杀

操作起来也很简便的，查杀木马病毒也很快速哦！我们安装登录后在主页面最下面找到第二个病毒查杀功能键，点击进入就可以享受到它强大的查杀效果啦。右上角还有轻巧模式和传统模式相互切换的键呢，我们可以选择自己喜欢的操作界面哦！

如何防止Linux系统中木马

Linux下的木马通常是恶意者通过Web的上传目录的方式来上传木马到Linux服务器，为做防护，我们可根据从恶意者访问网站开始--Linux系统--HTTP服务--中间件服务--程序代码--DB--存储，逐一设卡防护。

1.开发程序代码对上传文件类型做限制，例如不能上传.php程序。

2.对上传的内容进行检测，检测方式可通过程序、Web服务层、数据库等层面控制。

3.控制上传目录的权限以及非站点目录的权限。

4.传上木马文件后的访问和执行控制。

5.对重要配置文件、命令和WEB配置等文件做md5指纹及备份。

6.安装杀毒软件，定期监测查杀木马。

7.配置服务器防火墙及入侵检测服务。

8.监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。

如何查杀Linux系统下的木马

试试腾讯电脑管家查杀，严格控制病毒的检测，采用的是误报率极低的云查杀技术，确保扫描出来的结果一定是最准确的。而且为了确保万无一失，电脑管家默认采取可恢复的隔离方式清除病毒，如果万一您发现已清除的病毒是正常的文件，您还可以通过隔离区进行恢复。

您可以点击杀毒标签页下角的“隔离区”，在列表中选中想要恢复的文件，再点击“恢复”按钮，即可轻松恢复误删除的文件。