本文记录一些Linux系统被入侵后,常用的检测手段和命令:
history/last/lastlog看登录操作历史
crontab -l cat /etc/cron* 看任务有无异常
top 看有没有cpu占用高的,如果中了挖矿木马,cpu占用会很高。
sar -n DEV 看有没有大流量
netstat -anput看有无异常连接, 异常连接的对端地址能不能封掉
lsof -i:port 看详细情况
发现木马后,可以按照文件大小搜索文件系统,如:
find / -size 1243c
看看ps netstat lsof 等命令大小和日期是否正常,有没有被木马篡改,用ls -alt查看,或者用sha1sum命令得到这几个命令的hash值,到virustotal上查询一下。
查看是否有开机启动项,查看/etc/init.d目录,
ls -alt 查看是否有新建的文件,如果文件时间戳被改了,则还需要仔细查看文件内容。
清理木马时,通常都会有守护进程,即进程杀掉后,会又出现,此时需要找出守护进程,新生成的进程是由父进程创建的,记下新进程的PID,
用ps ef| grep PID命令,第三列即是父进程的ID,然后根据该ID找到父进程及相应的文件。然后杀掉相关进程即可。
获取到木马样本时,也可以将其拖到IDA中查看,可以详细了解木马做了哪些事情,防止在清理时有遗漏。