linux基本防护 /病毒检测

最新推荐文章于 2023-08-01 09:51:02 发布
最新推荐文章于 2023-08-01 09:51:02 发布
阅读量992 收藏 2
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaailiu/article/details/105396445
版权

(1)修改SSH端口并禁止root登录、禁用密码登录

## 修改端口,个人觉得作用并不明显,人家一个端口扫描立马能找到你服务器开启了哪些端口,我们还需要做更多的限制。

(2)对登陆的ip做白名单限制(iptables、/etc/hosts.allow、/etc/hosts.deny)

可以专门找两台机器作为堡垒机,其他机器做白名单后只能通过堡垒机登陆,将机房服务器的登陆进去的口子收紧;
     另外,将上面限制ssh的做法用在堡垒机上,并且最好设置登陆后的二次验证环境(Google-Authenticator身份验证)

(3)严格的sudo权限控制

(4)使用chattr命令锁定服务器上重要信息文件,如/etc/passwd、/etc/group、/etc/shadow、/etc/sudoers、/etc/sysconfig/iptables、/var/spool/cron/root等

(5)禁ping(echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all)

(6)安装denyhosts

## DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏蔽IP的功能。

(7)把所有软件升级到新版本

(8)修改所有软件默认端口号

(9)打开ssh/authorized_keys, 删除不认识的密钥

(10)删除用户列表中陌生的帐号

(11)封了他的ip

 

ls -l ~/.bash_history

lrwxrwxrwx 1 jd jd 9 Oct 10 19:40 /home/jd/.bash_history -> /dev/null # 这是一个致命的信息

grep :x:0: /etc/passwd # 正常只有一行,因为只有一个用户的UID为0

who # 看下是否有外国IP登录中,加到hosts.deny或者防火墙:iptables –A OUTPUT –d 175.124.123.26 –j DROP

skill -9 -t pts/5 # 杀掉外来IP登录进程

skill -9 -v /dev/pts/* # 杀死/注销所有用户

netstat -ntpl # 查看最后一栏是否有异常进程

查看异常登录:

grep "199.66.90" -r /var/log/secure*

grep Connection -r /var/log/secure*  >> lsl.sh

cat /var/log/secure|awk '/Failed/{print}'

grep "Failed password for invalid user" /var/log/secure | awk '{print $13}' | uniq -c | sort -nr | more  # 查看被尝试密码登录的信息

lastb | awk '{print $3}' | sort | uniq -c | sort -nr # 查看ip试图登录的次数

 

(1)ifconfig查看外网卡带宽是否消耗得异常多:

## 被木马感染,系统带宽被打满。网卡流量跑满

(2)top看系统cpu也被打满。内存占用还好:

(3)ps命令,ls命令执行无输出。这个时候我们需要清醒的意识到,这些系统命令已经病被病毒程序替换了。我们的系统已经变得不可靠了,任何命令的执行都有可能进一步拉起病毒。

入侵排查:

(1)用busybox命令

(2)busybox last命令是查看系统登陆日志,比如系统被reboot或登陆情况

(3)cat /etc/passwd # 查看是否有异常的系统用户 

(4)grep “0” /etc/passwd # 查看是否产生了新用户,UID和GID为0的用户 

(5)ls -l /etc/passwd # 查看passwd的修改时间,判断是否在不知的情况下添加用户

(6)awk -F: '3==0 {print 1}' /etc/passwd # 查看是否存在特权用户 

(7)awk -F: 'length(2)==0{print 1}' /etc/passwd # 查看是否存在空口令帐户 

(8)top #仔细检查异常进程pid ;ls -l /proc/pid/exe 查看异常进程命令所在地

(9)crontab -l  ; cat  /etc/crontab # 查看异常计划任务

(10)ls /tmp/ # 查看tmp目录异常文件

(11)ll /etc/init.d/ # 查看是否有开机自启动的异常文件

(12)ll /root/.ssh/

## killall -9 nshbsjdy   # 直接用killall杀掉进程

## echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all # 禁ping设置

## 能自我开机启动,要么/etc/rc.d/{init.d,rc{1,2,3,4,5}.d}/下有启动脚本,要么有cron计划任务

liuyi_刘一
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux病毒分析
tz_gx的专栏
03-15 1164
场景:系统每天早上自动执行一个apache的进程,且占用大量CPU资源如下图 检查分析进程所在路径: 然而tmp目录已经被删除了,kill -9 28271 28251 删除进程了,第二天又会自动启动这个进程,感觉应该是中毒了 解决办法:检查服务器自动执行脚本目录: 发现cron.daily目录最近被修改过,找到里面新增的文件anacron删除即可 部分anacr
Linux基本防护措施
Linux的成长历程
06-05 195
1.Linux基本防护措施 问题 本案例要求练习Linux系统的基本防护措施,完成以下任务: 1)禁止普通用户使用reboot、halt、poweroff程序 2)修改用户zhangsan的账号属性,设置为2015-12-31日失效(禁止登录) 3)锁定用户lisi的账户,使其无法登录,验证效果后解除锁定 4)锁定文件/etc/resolv.conf、/etc/hosts,以防止其内容被无意中修...
linux下的文件感染病毒
12-16
本代码是我们小组仿照ELF文件感染病毒写的linux下的C文件感染病毒,可以指定目录下感染,并且提供了杀毒过程。
centos系统安装杀毒软件clamav
Always on the road
11-05 3876
创建clamav用户和存放病毒库目录 #clamav用户和用户组 groupadd clamav && useradd -g clamav clamav && id clamav #日志存放目录 mkdir -p /usr/local/clamav/logs touch /usr/local/clamav/logs/clamd.log ...
linux病毒脚本分析
dzlyxzy的博客
01-21 1660
树莓派/opt下多个几个莫名其妙的脚本,并且给添加到了rc.local中开机自动执行。请大神们帮忙分析一下吧。其中suck***是调试程序的时候用到的,大家可以无视。感觉关键部分是最后sshpass -praspberry开始的几段。#!/bin/bash echo "Suck dick .......................................................
Linux 防范病毒的方法
主题模板站的博客
01-27 487
与Windows的病毒相比,从数量上看,Linux的病毒几乎可以忽略不计,但是Linux病毒的制造者们并不会停止,他们多是一些精通编写代码的黑客,Linux自身不可避免地存在的脆弱点很有可能会被他们利用从而编写出各式各样的新Linux病毒来。对使用Windows的人来说,病毒无处不在,各种各样的新型病毒层出不穷,近年来,一种类似Unix的操作系统也在发展壮大,开始走进我们的视野,并在各领域内得到应用,它就是Linux系统,对于受病毒困扰的用户来说,Linux会是一块没有病毒的乐土吗?
Linux防护工具clamav病毒库离线版
12-07
**Linux防护工具ClamAV与离线病毒库详解** ClamAV是一款开源的反病毒软件,主要用于Linux系统,提供强大的邮件服务器、文件服务器和其他网络服务的病毒扫描功能。这款工具以其跨平台性、免费和开源的特性,在IT行业...
Linux系统中基于系统调用序列的病毒检测方法研究.pdf
09-07
Linux 系统调用与病毒检测】 在Linux操作系统中,系统调用是用户空间程序与内核交互的重要方式,用于实现诸如文件操作、网络通信、进程管理等基本功能。由于病毒和恶意软件通常会利用这些系统调用来执行破坏性的...
一种应用机器学习和D-S证据理论的Linux病毒检测方案.pdf
09-06
【描述】:本文提出了一种结合机器学习和D-S证据理论的Linux病毒检测方法,旨在提高Linux操作系统的安全防护能力。 【标签】:Linux操作系统,系统开发,参考文献,专业指导 【正文】: 计算机病毒检测是信息安全...
linux 防病毒软件安装
最新发布
11-20
Linux环境中,防病毒软件的安装是确保系统安全的重要...通过以上步骤,你可以在Linux系统上成功安装并配置CLAMAV防病毒软件,提供基本的恶意软件防护。记得定期检查更新和日志,以便及时发现和处理潜在的安全威胁。
Linux系统中清剿病毒.pdf
09-06
ClamAV是一款专门为Linux设计的反病毒软件,它可以检测和清除多种类型的恶意软件,包括病毒、木马、蠕虫等。ClamAV的安装过程通常涉及下载适合特定Linux发行版的安装包。例如,在Red Hat Enterprise Linux 5.x版本下...
linux恶意代码实验报告,如何在CentOS 7上安装Linux恶意软件检测(LMD)和ClamAV
weixin_34966346的博客
05-13 1285
Linux恶意软件检测(LMD)是用于Linux的恶意软件检测器和扫描仪,专为共享托管环境而设计。 LMD是根据GNU GPLV2许可证发布的,它可以安装在cPanel WHM和Linux环境中,并配有其他检测工具,如ClamAV。Clam AntiVirus(ClamAV)是一种开源的防病毒解决方案,用于检测木马,恶意软件,病毒和其他恶意软件。 ClamAV支持多种平台,包括Linux,Wi...
linux上分析病毒,关于Linux操作系统病毒的原型分析
weixin_39553352的博客
05-14 190
一、 介绍写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结,同时向对这方面有兴趣的朋友做一个简单的介绍。阅读这篇文章你需要一些知识,要对ELF有所了解、能够阅读一些嵌入了汇编的C代码、了解病毒的基本工作原理。二、 ELF Infector (ELF文件感染器)为了制作病毒文件,我们需要一个ELF文件感染器,用于制造第一个带毒文件。对于ELF文件感染技术,在Silvio Cesa...
ClamAV查杀linux病毒实战
wfs
05-08 2713
完整记录一次linux下clamav软件安装、病毒查杀及解决过程 ClamAV介绍 ClamAV 杀毒是Linux平台最受欢迎的杀毒软件,ClamAV属于免费开源产品,支持多种平台,如:Linux/Unix、MAC OS X、Windows、OpenVMS。ClamAV是基于病毒扫描的命令行工具,但同时也有支持图形界面的ClamTK工具。ClamAV主要用于邮件服务器扫描邮件。它有多种...
Linux应急响应排查
swordheart的博客
08-24 1090
1] 可疑进程名[2] 可疑域名/IP流量[3] 可疑定时任务[4] 可疑文件路径。
Linux入侵检测病毒清理流程
Climbman的博客
06-23 2426
Linux入侵检测病毒清理流程1.前言:根据阿里云快讯病毒公布:Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module并执行恶意指令。在以往常见的攻击者或蠕虫中,其大多都沿用登陆redis后写入定时任务或写ssh key的方式进行入侵,这种方式受权限与系统类型影响并不一定能够成功。
Linux杀毒简要说明
weixin_44487337的博客
08-01 901
2、查看进程对应的服务状态:systemctl status PID。3、查看病毒服务状态:systemctl status 服务。1、先使用命令 top 查看占用率高的进程PID。通过打印出的信息定位病毒路径与病毒对应的守护程序。通过打印出的信息定位病毒路径与病毒对应的守护程序。5、kill掉病毒程序与病毒对应的守护程序。systemctl status 服务。7、重启服务器,查看病毒是否存在。4、查看守护程序对应路径。6、删除所有的病毒源文件。
linux里常用shell种类
热门推荐
Kaailiu的博客
12-02 1万+
不同的shell具备不同的功能,shell还决定了脚本中函数的语法,Linux中默认的shell是/bin/bash,流行的shell有ash、bash、ksh、csh、zsh等,不同的shell都有自己的特点以及用途。 bash 大多数Linux系统默认使用的shell,bash shell 是 Bourne shell 的一个免费版本,它是最早的 Unix shell,bash...
深入理解Linux二进制分析:从ELF到病毒防护
书中深入探讨了UNIX和Linux内存感染、ELF病毒以及二进制保护策略,非常适合对病毒分析、二进制修补、软件保护感兴趣的读者。 书中的章节涵盖了从Linux环境及其工具到ELF二进制格式的广泛主题。第一章介绍了Linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值