如果是Linux服务器中了病毒,那么如何发现病毒并且清楚该病毒呢,我这边说说我的一些处理的大概思路吧。
1、注意备份数据,运维首先想到的是数据得安全性,一般情况你要注意这台中病毒的是app应用、文件、还是数据库服务器,注意数据的安全性,我习惯性是会将数据或者程序文件等等先临时传输到另外一台临时的服务器,或者其他目录;
2、 分析是什么异常进程,有的病毒ps命令可以看,如果病毒是挖矿程序等通常都是rookkit伪装成内核进程,一般命令看不了;
3、netstat查看异常链接;
4、iftop等查看服务器流量等,一般服务器都会有监控软件,注意服务器CPU,内存,流量等监控;
5、如服务器安全扫描软件等辅助扫描;
6、clamav开源杀毒软件辅助;
7、有时候系统中病毒,有些命令会被替换,导致你发现不了异常进程;
8、注意分析系统日志,和应用日志。
综合以上来综合分析。
教你处理Linux挖矿木马
处置分析
挖矿程序只执行进程查杀,没有办法达到根除的效果。
1. 因为挖矿木马会有定时的脚本任务,即使清除了进程,但定时任务执行,进程仍会重新激活。
2. 中断进程只是关闭进程的操作,挖矿进程文件仍然能够在本地重新运行。不删除进程文件,没有办法达到清除的效果。
3. 木马进程能够无声无息进入服务器,证明服务器很可能被攻陷,需要将服务器与恶意连接的地址进行阻断,并修改本地的管理员密码,防止挖矿进程被清除后,黑客重新连接服务器重新植入木马。
处置过程
整理完思路后,则需要整理下一步处置我们需要收集的信息。
1. 挖矿进程确认;
2. 木马网络连接;
3. 挖矿木马文件;
4. 相关的定时任务。
