如何处理linux恶意程序

如何处理linux恶意程序

---

一、准备实验环境SYN洪水攻击

一台Windows Server 2003做控制端、一台linux服务器做被控制端（肉机），使用软件如下：

点击生成器输入控制端的IP生成木马文件txma，10771是控制监控程序，如果有被控制端上线立马可以在控制台发现，将txma上传到linux服务器，设置可执行权限并运行此木马，结果如下：
被控制端：将txma上传到linux服务器，设置可执行权限并运行此木马

注意 id是闲置的cpu
控制端：有肉机上线发起攻击设置攻击的服务器ip和端口

二、肉机上线发现清除木马进程

• top 命令
  
  可以发现id是0 CPU可用是0，有个进程txma PID 2187使用的CPU过多异常情况
  可以使用killall tama 或者 kill -9 2187
• netstat -natp 命令
  
  可以发现linux服务器开启一个本地异常端口连接另一个IP的端口
  此时也能确认PID是2187，可以使用kill -9 2187
• 清除木马文件

[root@k8s-master ~]# find / -name "*txma*"  
/root/txma  
/usr/bin/txma  
/usr/local/bin/txma  
[root@k8s-master ~]#   

查到木马文件进行删除

三、清除木马自动复活点

• 使用crontab计划任务复活木马
  crontab -e 也可以在cat /var/spool/cron/root查看 #注意 这是用户计划任务要查询每一个用户的
  cat /etc/crontab 这是系统计划任务 #注意 格式需要指明那个用户执行
• 系统自启动复活木马
  在/etc/rc.local 文件中添加木马启动命令，这个文件在开机后会执行
• 一些自动加载的文件复活木马
  /etc/profile #所有用户登录系统时自动执行此文件，木马复活下载运行可以放到这里；
  .bash_profile用户家目录下面的 #当前此用户登录系统会执行，木马复活下载运行可以放到这里 ；
  /etc/bashrc #所有子shell都会执行此文件，木马复活下载运行可以放到这里 ；
  .bashrc 用户家目录下面的 #当前此用户子shell会执行，木马复活下载运行可以放到这里 ；
  注意文件的扩展属性：
  chattr +i 文件名 #文件只读
  lsattr #查看
• rootkit后门复活木马
  rootkit后门是用户执行常用的命令时候，复活木马程序，此时系统命令被感染。
  一般是合并木马文件和命令文件、或者写脚本关联使用软连接到命令
  例如：
  cat txma /usr/bin/ps >> ps1
  which ps 把ps1 软连到ps

四、 断木马下载的后路

linux系统不安装下载的命令 例如：curl wget等

五、删除木马创建的用户

userdel -r 用户名 #如果删除不了是因为此用户有运行的进程，需要kill此用户的所运行的进程

六、添加微信公众号一起进步

资料下载 https://download.csdn.net/download/qq_31555951/12162212