前期准备
了解用户业务系统的大概状况:进程名称,文件路径,涉及服务,涉及端口
上传工具
上传Linux常用命令工具,不使用感染主机中的命令。
ps,top,netstat,lsof,ls等
查看进程
ps查看进程
ps aux
查看异常进程
top查看进程
通过判断或比对,查看异常进程,使用lsof -p PID查看进程打开的文件
查看非法外连
netstat -pantu
查看非法外连端口与地址
查看计划任务
crontab -l
cat /etc/crontab
目录检查
/bin;/sbin,/etc/init.d(启动脚本)…
通过文件存在情况,文件大小,文件时间,文件内容判断是否异常
检查lib库
/lib;/usr/lib
检查/tmp
抑制查杀
工具:kill,rm,chattr,chmod,ls
停止异常进程
对异常目录上锁:chattr +i DIR
清除
清除异常计划任务
1 | chattr -i /etc/ && vim /etc/crontab && chattr +i /etc/ |
解锁,编辑删除计划任务条目,加锁
命令尽量一条执行完毕
删除计划任务文件
删除开机自启异常文件
删除其他异常文件
删除被篡改的命令和木马目录
删除木马主体
杀死异常进程
木马清除确认
确认文件
确认进程
解锁目录
确认木马清除完成后解锁目录
文件删除检查
查看日志信息
查看日志文件是否存在
查看用户名及密码文件
木马可能会创建一个新的存放用户名及密码的文件
查看密码文件是否被修改
查看最近登录事件
lastlog
cat /var/log/lastlog
查看当前登陆用户
who
cat /var/run/utmp
查看登陆过的用户
last
cat /var/log/wtmp
查看secure安全日志
cat /var/log/secure | grep -i "accepted password"
文件恢复
当进程打开了某个文件时,只要该进程保持打开该文件,即使将文件删除,此文件仍然会存在于磁盘中。该进程仍然可以对文件进行读写。除该进程外,此文件不可见,因为已经删除了其相应的目录索引节点
/proc目录中的文件不存在于磁盘,而存在于内存
当文件被意外删除,只要还有进程访问此文件,就可以通过lsof命令从/proc目录恢复该文件内容
lsof | grep DATAcat /proc/PID/fd/FILE_NUM > ...