环节概述
处理Linux应急响应主要分为这4个环节:识别现象 > 清除病毒 > 闭环兜底 > 系统加固。
首先需要判断主机的异常现象,来识别出病毒的病毒现象。比如CPU需占用资源过高,可疑端口开放,以及与可疑IP通信等,然后定位到具体的病毒进程和文件,进行清除杀毒。
当然,如果仅仅只做到这两步,主机仍存在被感染的可能性,因为病毒一般会通过各种守护进程或者自启动项目进行重复感染,所以我们需要进行全面的系统检查,计划任务,自启动进程等,确保病毒不会被再次创建。
当我们完成了上述三个步骤后,最后就可以进行系统加固了,防止入侵者再次入侵注入病毒。
走完这4个环节,才能算是一个应急响应流程的结束。
识别现象
第1个环节要求我们通过系统运行状态来发现主机异常现象,以及确认病毒的可疑行为。
检查CPU占用
- top键入P 根据CPU使用百分比大小进行升序排序。
- nps aux --sort=%cpu | head -n 1 && ps aux --sort=%cpu | tail
根据CPU使用百分比大小进行降序排序,取占用最高的10个进程。
枚举检查进程命令行
- CPU占用率超过70%且名字比较可疑的进程,大概率就是挖矿病毒了。
- nps aux
病毒一般都携带可疑的命令行,当你发现命令行中带有url、curl、wget等奇怪的字符串时,就需要确定这个进程是否为病毒的downloader程序了。
查看端口情况
- netstat -tunlp
远控病毒一般会在服务器开放一个端口供远程控制,需判断端口是否为正常业务端口。
监控与目标IP通信的进程
- while true; do netstat -antp | grep [IP]; done
病毒程序一般会对入侵者所规定的IP进行数据包的传递,在进程或端口查找到可疑IP后,可通过此命令查看对其通信的相关进程。
清除病毒
从第1个环节追溯到的进程信息,将会帮助我们定位到病毒进程和对应的病毒文件,实现清除。
定位病毒进程对应的文件并删除
- ls -al /proc/PID/exe 定位病毒进程对应文件
- rm -rf exe_path 删除该文件
清除可疑的进程
- ps aux | grep PID 过滤出该进程
- kill -9 PID 强行结束该进程
闭环兜底
Linux下的病毒持久化驻留方式相比于Windows较少。
查看是否存在恶意驱动
lsmod 列出所有的驱动,进行自主判断
使用相关工具进行扫描检查 ,比如rkhunter、chkrootkit等
检查各个用户的计划任务配置
crontab -uUSERNAME -l 列出指定用户的计划任务
查看相关的自启动服务
- systemctl list-unit-files | grep enabled
列出系统所有的自启动服务
系统加固
完成前三步后,我们已经基本能确保病毒不会被再次创建,剩下的我们需要对系统进行加固,来修补入侵者找到的漏洞入口。
对系统进行更新升级,及时打上漏洞补丁,并配置强口令及较为安全的防火墙策略等。