Linux服务器中了病毒后的清理方法

本文涉及的产品
云数据库 Tair(兼容Redis),内存型 2GB
Redis 开源版,标准版 2GB
推荐场景:
搭建游戏排行榜
全局流量管理 GTM,标准版 1个月
简介: Linux服务器中了病毒后的清理方法

大家在使用ECS云服务器的过程中,有时会遇到中毒的情况,碍于技术和经验问题,想要排除病毒却无从下手,亦或者是做了清除但是又发现复发。下面为大家提供一些排查方法和预防措施,以供参考。

说明:本文是拿 CentOS 7.X 系统做说明,病毒的排查思路和预防措施都是一样的,请自行在其它版本的系统上变换命令操作。


病毒的基础排查


第1步:检查计划任务


黑客入侵服务器后,为了让病毒脚本持续执行,通常会在计划任务配置文件里面写入定时执行的脚本任务。

检查命令

说明

ls -l /var/spool/cron/*

查看用户级计划任务配置。有的人喜欢用 crontab -l 命令来排查,这样做不全面,因为 crontab -l 命令只是查看当前登录用户的计划任务,无法查看其他用户的计划任务。而用左侧这个命令,可以查看所有用户设置的计划任务。

ls -l /etc/cron.d/

如果发现该目录下存在未见过的脚本要格外留意。

ls -l /etc/cron.hourly/

该目录下的脚本会每小时执行一次。

ls -l /etc/cron.daily/

该目录下的脚本会每天执行一次。

ls -l /etc/cron.weekly/

该目录下的脚本会每周执行一次。

ls -l /etc/cron.mouthly/

该目录下的脚本会每月执行一次。

cat /etc/crontab

查看系统级计划任务配置。


第2步:解锁系统文件

检查命令

说明

chattr -iRa /usr/ /etc/

黑客入侵系统后,经常会执行chattr命令为恶意脚本文件加上隐藏属性,从而导致我们无法修改、删除这些恶意脚本。此时需要用chattr命令先去掉这些隐藏属性,然后再修改、删除。


第3步:检查开机启动文件

检查命令

说明

cat /etc/rc.d/rc.local

由于系统会在开机时自动执行/etc/rc.d/rc.local文件里面的命令,因此也常常被黑客利用。


第4步:检查开机启动服务

检查命令

说明

ls -l /etc/systemd/system/

ls -l /etc/systemd/system/multi-user.target.wants/

黑客通常会把恶意命令做成一个开机启动服务项,让其随着系统重启自动执行。我们一定要仔细观察这两个目录下面的每个启动项。

ls -lA /etc/rc.d/init.d/

这个目录有时也会被黑客放入恶意脚本,也记得查看。


第5步:检查环境变量文件

检查命令

说明

cat /etc/profile

cat /etc/bashrc

cat ~/.bash_profile

cat ~/.bash_login

cat ~/.bashrc

这些文件都是系统和用户的环境变量配置文件,黑客有时会在里面写入恶意命令,当系统加载环境变量配置文件时,恶意命令也会随之运行。

cat /etc/ld.so.preload

通过配置该文件,可以让程序在运行之前,优先加载某些动态链接库。部分木马正是利用此文件的功能,修改该了文件,在里面添加恶意so文件,从而达到了隐藏挖矿进程的目的。这也就是为什么服务器中毒了,CPU使用率很高,但是却看不到占用CPU高的进程的原因。

默认该文件是空的,如果发现该文件里面有内容,则可能是黑客植入的,我们需要把该文件中列出的对应路径下的so文件全部删除掉,最后再清空ld.so.preload文件即可。


第6步:检查二进制命令文件

检查命令

说明

ls -Athl /usr/bin

ls -Athl /usr/sbin

根据修改时间来查看二进制命令,新文件在最前,旧文件在后。

通常黑客入侵服务器后,会植入一些二进制命令,这些命令文件的日期较新,我们可以根据这个特征,把新文件优先列出来,仔细辨别是否为恶意命令。

ls -AShl /usr/bin

ls -AShl /usr/sbin

根据文件大小来查看二进制命令,大文件在最前,小文件在后。

通常黑客入侵服务器后,会植入一些二进制命令,这些二进制命令的体积往往比较大,远超过系统命令的大小。我们可以根据这个特征,把大文件优先列出来,仔细辨别是否为恶意命令。

find /usr/bin/ -iname ".*" -ls

find /usr/sbin/ -iname ".*" -ls

列出/usr/bin/、/usr/sbin/等目录下的隐藏文件。

黑客有时会把恶意命令进行隐藏,我们可以通过左侧这两个查找命令,把隐藏文件全部列出来。


根据处理经验,笔者列出了一些常见的恶意命令,供大家参考:

/usr/local/bin/pnscan

/usr/bin/masscan
/usr/bin/execute

/usr/bin/where

/usr/bin/crond

/usr/bin/bioset

/usr/bin/bsd-port


第7步:检查内核文件

检查命令

说明

cat /etc/sysctl.conf

黑客入侵服务器后,还会修改内核配置文件,有时会添加如下参数:

vm.nr_hugepage

该参数的作用是用来设置大内存页,默认该参数的值是0。黑客有时会设置该参数来优化内存性能,来为挖矿程序的运行提供最大内存资源。也正是由于该参数的存在,会导致系统重启之后,很多服务无法正常加载运行,从而导致系统长时间卡在服务加载界面。


第8步:检查密钥登录文件

检查命令

说明

cat /root/.ssh/authorized_keys

黑客入侵系统后,通常会在此文件中写入公钥,以便黑客可以免密登录系统。我们需要仔细辨别该文件的公钥内容,去伪留真。


第9步:检查账户信息

检查命令

说明

cat /etc/passwd |grep -i /bin/bash

列出所有具有登录系统权限的用户名。有时黑客会创建后门登录账户,以便其持续入侵,需要我们来辨别。


第10步:检查DNS设置文件

检查命令

说明

cat /etc/hosts

cat /etc/resolv.conf

有时黑客会修改DNS解析设置文件,以便解析某些恶意域名。

我们需要检查该文件进行确认,如果黑客确实修改了,则要进行配置还原,改回成系统默认的DNS地址,否则可能会影响我们访问网站的速度。


第11步:检查临时目录

检查命令

说明

ls -Al /tmp

ls -Al /var/tmp

有时黑客会把恶意病毒文件或恶意脚本,放置到这两个临时目录中,需要我们仔细查看加以辨别。

ls -Al /dev/shm

/dev/shm是Linux系统利用内存虚拟出来的一个目录,目录中的文件都保存在内存中,效率非常高。也就是往这个目录写东西,仅写在内存里,不会持久化到磁盘。系统重启后,文件消失。

有时黑客也会把病毒文件或脚本藏到这个临时目录里面。


病毒的进阶排查


做了上述的基础排查之后,还不一定完全能根除,黑客是很狡猾的。有时黑客还会替换系统的命令,例如替换了ps、top、netstat等系统原有的命令,以假乱真。这时我们每次去执行ps、top、netstat等命令,都相当于运行一次黑客的恶意命令,这些被替换了的命令会让我们看不到占用CPU高的恶意进程。

此时我们可以安装clamav软件,来检测黑客是否植入(篡改)了二进制命令。


第1步:安装clamav

yum -y install epel-release

yum -y install clamav clamd clamav-update clamav-devel clamav-data


第2步:更新clamav病毒库

freshclam


第3步:使用clamav扫描指定的目录

clamscan –ri /usr/sbin/ --move=/root/infected -l /var/log/clamscan.log

命令常用参数解释:

参数

说明

-r

递归扫描,也就是扫描指定的目录及其所有的子目录。

-i

只显示被感染的可疑文件。

-l "FILE"

将扫描的结果保存到指定的文件中,以便事后查看。

--move=DIRECTORY

将扫描到的可疑文件移动到指定的目录中。


第4步:重新安装系统命令

假如我们用clamscan扫描到了被篡改的二进制命令,并利用--move参数将其移动到了指定的目录中,此时我们需要重新安装这些二进制命令,从而再去发现被隐藏的恶意进程。


yum -y install glibc e2fsprogs procps lsof iproute net-tools coreutils curl wget findutils procps-ng util-linux rsyslog

说明:

ss命令属于iproute软件包。

chattr命令属于e2fsprogs软件包。

w、ps、top、pkill、sysctl等命令属于procps软件包。

netstat、ifconfig等命令属于net-tools软件包。

chmod、chown、ls等命令属于coreutils软件包。


黑客是如何入侵


笔者总结了大量的案例,黑客入侵的途径主要有如下几种:


第1种:弱密码

服务器或者应用程序设置的密码过于简单,例如密码设置为了 Aa123456、1qaz2wsx、passwd123 等等,这些密码极其容易被黑客暴力破解。


第2种:Redis

这是非常常见的一种入侵方式,因此笔者特意拎出来进行说明。很多人在服务器里面安装了Redis后,由于安全意识薄弱,会把Redis 6379端口对公网开放,从而被黑客扫描到后被入侵进来。


Redis入侵的原理:

  1. 攻击者首先扫描存在未授权访问或弱密码的Redis进行入侵。
  2. 攻击者入侵成功后,控制机器不仅会去下载恶意脚本,还会直接读取主机上的/root/.ssh/known_hosts和/root/.ssh/id_rsa.pub文件,从而登录信任当前主机的其它机器,并控制这些机器执行恶意指令。


Redis防护的方法:

  1. 为Redis的访问添加密码验证。
  2. 禁止外网访问Redis,或者只允许指定的IP地址访问Redis端口。
  3. 以普通用户身份运行Redis服务。


第3种:数据库

很多用户可能是疏忽大意,也可能是出于远程访问的需要,把数据库端口1433、3306等对公网进行了开放,导致黑客扫描到数据库端口后,对数据库进行了注入或提权入侵,进而发生删库勒索等情况。


第4步:应用程序存在漏洞

例如:Gitlab exiftool 远程命令执行漏洞、Spring Framework远程代码执行漏洞、Apache Log4j2 远程代码执行漏洞、Grafana 任意文件读取漏洞、ThinkPHP5远程代码执行高危漏洞、Windows Print Spooler远程代码执行漏洞 等等,不胜枚举。


病毒的防范措施


  1. 设置好ECS安全组,例如只允许指定的IP地址进行3389(远程桌面)、22(SSH)登录,避免服务器管理端口被黑客扫描或爆破。还可以考虑修改管理端口,降低被扫描入侵的风险。


  1. 在ECS安全组中,只放行必要的业务端口(例如80、443),其他无关端口不要放行。对于数据库端口(例如1433、3306、6379等),应设置为只允许指定的IP来连接,如无必要,建议不要对外开放。


  1. 服务器以及应用程序的密码应设置的尽量复杂,不要过于简单,防止被暴力破解。


  1. 应用程序尽量使用普通用户来运行,如不必要,不要使用管理员权限来运行。


  1. 应用软件应尽量使用新版本,不要用老版本的软件,老版本通常会存在已公开漏洞,容易被黑客利用。如果因业务需要,确实要安装老版本软件,请参考上述两条做好访问限制。


  1. 对重要服务器定期创建磁盘快照,备份数据。这样当出现系统崩溃、数据丢失、误删数据、中了勒索病毒等意外事件时,可以通过磁盘快照快速恢复数据。金钱有价,数据无价。


  1. 多关注各大厂商发布的安全公告,例如,阿里云安全公告绿盟安全公告国家信息安全漏洞库360预警通告 等,如果正好中招,及时更新应用程序版本。


  1. 如果使用的是阿里云服务器,可以根据云安全中心提示,检测以及修补系统高危漏洞和应用漏洞(注意:修补漏洞前先做快照备份)。


  1. 如果资金允许,可以考虑使用"漏洞扫描"来扫描系统和网站是否存在漏洞。根据扫描结果,修复对应漏洞,加固服务器和网站的安全,从而防患于未然。


  1. 还可以在网站前端部署Web应用防火墙,形成"用户 --> Web应用防火墙  --> 源站Web服务器"这样的访问架构。这样当黑客攻击网站时,中间的Web应用防火墙可以识别并阻断黑客的攻击行为。


最后说明

以上是笔者的个人实战总结,如有不足之处,请大家多多指正。

相关文章
|
22天前
|
监控 Linux Shell
|
13天前
|
弹性计算 异构计算
2024年阿里云GPU服务器多少钱1小时?亲测价格查询方法
2024年阿里云GPU服务器每小时收费因实例规格不同而异。可通过阿里云GPU服务器页面选择“按量付费”查看具体价格。例如,NVIDIA A100的gn7e实例为34.742元/小时,NVIDIA A10的gn7i实例为12.710156元/小时。更多详情请访问阿里云官网。
54 2
|
13天前
|
缓存 Unix Linux
服务器linux!!!
本文介绍了计算机的演变历史、硬件基础知识及服务器相关知识。从电子管时代的ENIAC到冯-诺伊曼架构,再到现代计算机系统组成,详细讲解了计算机的发展历程。此外,文章还介绍了服务器的分类、品牌、硬件组成以及IDC机房的上架流程,为读者提供了全面的技术背景知识。
33 0
服务器linux!!!
|
15天前
|
人工智能 安全 Linux
|
15天前
|
人工智能 弹性计算 关系型数据库
学生免费领取阿里云服务器一年的方法,以及各种活动
学生可以免费领取阿里云服务器一年,新人可获2核4G,非新人2核2G。访问链接注册并完成学生认证,领取300元无门槛优惠券,购买轻量应用服务器。此外,还有多项活动可赢取实物奖品。
80 2
|
15天前
|
Linux Shell 数据库
文件查找是Linux用户日常工作的重要技能介绍了几种不常见的文件查找方法
文件查找是Linux用户日常工作的重要技能。本文介绍了几种不常见的文件查找方法,包括使用`find`和`column`组合、`locate`和`mlocate`快速查找、编写Shell脚本、使用现代工具`fd`、结合`grep`搜索文件内容,以及图形界面工具如`Gnome Search Tool`和`Albert`。这些方法能显著提升文件查找的效率和准确性。
36 2
|
17天前
|
Linux 数据库
Linux服务如何实现服务器重启后的服务延迟自启动?
【10月更文挑战第25天】Linux服务如何实现服务器重启后的服务延迟自启动?
80 3
|
20天前
|
存储 安全 关系型数据库
Linux系统在服务器领域的应用与优势###
本文深入探讨了Linux操作系统在服务器领域的广泛应用及其显著优势。通过分析其开源性、安全性、稳定性和高效性,揭示了为何Linux成为众多企业和开发者的首选服务器操作系统。文章还列举了Linux在服务器管理、性能优化和社区支持等方面的具体优势,为读者提供了全面而深入的理解。 ###
|
21天前
|
运维 Linux
Linux查找占用的端口,并杀死进程的简单方法
通过上述步骤和命令,您能够迅速识别并根据实际情况管理Linux系统中占用特定端口的进程。为了获得更全面的服务器管理技巧和解决方案,提供了丰富的资源和专业服务,是您提升运维技能的理想选择。
23 1
|
21天前
|
运维 安全 Linux
Linux文件清空的五种方法总结分享
每种方法各有优势,选择最合适的一种或几种,可以极大提高您的工作效率。更多有关Linux系统管理的技巧与资源,欢迎访问,持续提升您的运维技能。
61 1