linux查找木馬

A. 如何查殺linux系統下的木馬

試試騰訊電腦管家查殺，嚴格控制病毒的檢測，採用的是誤報率極低的雲查殺技術，確保掃描出來的結果一定是最准確的。而且為了確保萬無一失，電腦管家默認採取可恢復的隔離方式清除病毒，如果萬一您發現已清除的病毒是正常的文件，您還可以通過隔離區進行恢復。
您可以點擊殺毒標簽頁下角的「隔離區」，在列表中選中想要恢復的文件，再點擊「恢復」按鈕，即可輕松恢復誤刪除的文件。

B. 如何查linux的nginx是否被掛馬

linux系統相對比windows安全，但是有些程序上的不安全行為。不管你是什麼系統，一樣也會存在危險因素，在這里，我們總結出了linux系統下的一些常見排除木馬和加固系統安全性的方法。

1、改變目錄和文件屬性，禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;

註：當然要排除上傳目錄、緩存目錄等；
同時最好禁止chmod函數，攻擊者可通過chmod來修改文件只讀屬性再修改文件

2、php的危險配置
禁用一些危險的php函數，例如：

passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
syslog,show_source

3、nginx安全方面的配置

限制一些目錄執行php文件

location~^/images/.*\.(php|php5)$
{
denyall;
}

location~^/static/.*\.(php|php5)$
{
denyall;
}

location~*^/data/(attachment|avatar)/.*\.(php|php5)$
{
denyall;
}

註：這些目錄的限制必須寫在

location~.*\.(php|php5)$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}

的前面，否則限制不生效!
path_info漏洞修正：
在通用fcgi.conf頂部加入

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}

4、linux系統下查找php的相關木馬

php木馬一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

find /data/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /root/scan.txt

另外也有上傳任意文件的後門,可以用上面的方法查找所有包括"move_uploaded_file"的文件.

還有常見的一句話後門：

grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > grep.txt

把搜索結果寫入文件，下載下來慢慢分析，其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找，上傳圖片肯定有也捆綁的，來次大清洗。

5、查找近3天被修改過的文件：

find /data/www -mtime -3 -type f -name \*.php

注意：攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找，所以touch必須禁止

6、查找所有圖片文件

查找所有圖片文件gif,jpg.有些圖片內容里被添加了php後門腳本.有些實際是一個php文件,將擴展名改成了gif了.正常查看的情況下也可以看到顯示的圖片內容的.這一點很難發現.

曾給客戶處理過這類的木馬後門的.發現在php腳本里include一個圖片文件,經過查看圖片文件源代碼,發現竟然是php腳本.

好了。安全加固你的php環境是非常重要的運維工作，大家還有什麼其他加固安全的好方法，可以拿過來分享一下。

提示：如果上面顯示空白或者頁面排版混亂、內容顯示不完整等影響閱讀的問題，請點擊這兒瀏覽原文

返回腳本百事通首頁 如果您喜歡腳本編程技術，歡迎加入QQ群：246889341，在群里認識新朋友和交流技術^_^
Linux下查找後門程序
每個進程都會有一個PID，而每一個PID都會在/proc目錄下有一個相應的目錄，這是Linux（當前內核2.6）系統的實現。

一般後門程序，在ps等進程查看工具里找不到，因為這些常用工具甚至系統庫在系統被入侵之後基本上已經被動過手腳（網上流傳著大量的rootkit。假如是內核級的木馬，那麼該方法就無效了）。
因為修改系統內核相對復雜（假如內核被修改過，或者是內核級的木馬，就更難發現了），所以在/proc下，基本上還都可以找到木馬的痕跡。

思路：
在/proc中存在的進程ID，在 ps 中查看不到（被隱藏），必有問題。
Bash Shell:
#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`"
for i in /proc/[[:digit:]]*; do
if echo "$str_pids" | grep -qs `basename "$i"`; then
:
else
echo "Rootkit's PID: $(basename "$i")"
fi
done

討論：
檢查系統(Linux)是不是被黑，其復雜程度主要取決於入侵者「掃尾工作」是否做得充足。對於一次做足功課的入侵來說，要想剔除干凈，將是一件分精密、痛苦的事情，通常這種情況，需要用專業的第三方的工具（有開源的，比如tripwire，比如aide）來做這件事情。
而專業的工具，部署、使用相對比較麻煩，也並非所有的管理員都能熟練使用。

實際上Linux系統本身已經提供了一套「校驗」機制，在檢查系統上的程序沒有被修改。比如rpm包管理系統提供的 -V 功能：
rpm -Va
即可校驗系統上所有的包，輸出與安裝時被修改過的文件及相關信息。但是rpm系統也可能被破壞了，比如被修改過。

C. linux下查找木馬是怎麼查找

不用查找。一般認為linux不會中毒。

D. linux伺服器中木馬怎麼處理

以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法：

一、Web Server（以Nginx為例）

1、為防止跨站感染，將虛擬主機目錄隔離（可以直接利用fpm建立多個程序池達到隔離效果）

2、上傳目錄、include類的庫文件目錄要禁止代碼執行（Nginx正則過濾）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server，隱藏Server信息

5、打開相關級別的日誌，追蹤可疑請求，請求者IP等相關信息。

二.改變目錄和文件屬性，禁止寫入

find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註：當然要排除上傳目錄、緩存目錄等；

同時最好禁止chmod函數，攻擊者可通過chmod來修改文件只讀屬性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危險函數：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.Mysql資料庫賬號安全：

禁止mysql用戶外部鏈接，程序不要使用root賬號，最好單獨建立一個有限許可權的賬號專門用於Web程序。

五.查殺木馬、後門

grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件，下載下來慢慢分析，其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找，上傳圖片肯定有也捆綁的，來次大清洗。

查找近2天被修改過的文件：

find -mtime -2 -type f -name \*.php
注意：攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找，所以touch必須禁止

六.及時給Linux系統和Web程序打補丁，堵上漏洞

E. linux 怎麼看那個文件被種木馬

1，這個只能靠殺毒軟體檢測，不然就會誤刪
2，可以使用電腦管家
3，打開選擇全盤殺毒，可以找出電腦裡面所有隱藏的病毒，然後一鍵刪除。

F. linux web伺服器被掛馬很久了怎麼查找木馬文件

可以打開騰訊智慧安全的頁面
然後在產品裡面找到御點終端全系統
接著在裡面選擇申請使用騰訊御點，再去用病毒查殺功能殺毒

G. 如何防止Linux系統中木馬

Linux下的木馬通常是惡意者通過Web的上傳目錄的方式來上傳木馬到Linux伺服器，為做防護，我們可根據從惡意者訪問網站開始-->Linux系統-->HTTP服務-->中間件服務-->程序代碼-->DB-->存儲，逐一設卡防護。
1.開發程序代碼對上傳文件類型做限制，例如不能上傳.php程序。
2.對上傳的內容進行檢測，檢測方式可通過程序、Web服務層、資料庫等層面控制。
3.控制上傳目錄的許可權以及非站點目錄的許可權。
4.傳上木馬文件後的訪問和執行控制。
5.對重要配置文件、命令和WEB配置等文件做md5指紋及備份。
6.安裝殺毒軟體，定期監測查殺木馬。
7.配置伺服器防火牆及入侵檢測服務。
8.監控伺服器文件變更、進程變化、埠變化、重要安全日誌並及時報警。

H. Linux系統如何清除木馬

可以直接騰訊電腦管家查殺
操作起來也很簡便的，查殺木馬病毒也很快速哦！我們安裝登錄後在主頁面最下面找到第二個病毒查殺功能鍵，點擊進入就可以享受到它強大的查殺效果啦。右上角還有輕巧模式和傳統模式相互切換的鍵呢，我們可以選擇自己喜歡的操作界面哦！