linux被掛馬

A. linux 被攻擊後怎麼排查掛馬的病毒

理論上每一個活動進程都可以是懷疑對象
畢竟像ubuntu它並沒有承諾不掛木馬

一個一個排查活動進程

B. linux伺服器中木馬怎麼處理

以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法：

一、Web Server（以Nginx為例）

1、為防止跨站感染，將虛擬主機目錄隔離（可以直接利用fpm建立多個程序池達到隔離效果）

2、上傳目錄、include類的庫文件目錄要禁止代碼執行（Nginx正則過濾）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server，隱藏Server信息

5、打開相關級別的日誌，追蹤可疑請求，請求者IP等相關信息。

二.改變目錄和文件屬性，禁止寫入

find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註：當然要排除上傳目錄、緩存目錄等；

同時最好禁止chmod函數，攻擊者可通過chmod來修改文件只讀屬性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危險函數：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.Mysql資料庫賬號安全：

禁止mysql用戶外部鏈接，程序不要使用root賬號，最好單獨建立一個有限許可權的賬號專門用於Web程序。

五.查殺木馬、後門

grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件，下載下來慢慢分析，其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找，上傳圖片肯定有也捆綁的，來次大清洗。

查找近2天被修改過的文件：

find -mtime -2 -type f -name \*.php
注意：攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找，所以touch必須禁止

六.及時給Linux系統和Web程序打補丁，堵上漏洞

C. 查出Linux下網站哪些文件被掛馬的辦法

重點是template目錄下的模板文件被讓寫入..設置下這個目錄的許可權吧

D. 求助：linux伺服器遭掛馬，如何對安全進行排查

常用的免費殺毒軟體：
1、ClamAV 殺毒
ClamAV 殺毒是Linux平台最受歡迎的殺毒軟體，現在正在用，非常好用，比如說你的ls命令被修改了，執行一次ls命令就啟動一次病毒都可以掃描出來。可以把病毒掃描結果輸出到日誌，clamscan -r -i / -l /tmp/clamscan.log 具體安裝很多，網路上都有。
2、AVG 免費版殺毒
現在有超過10億用戶使用AVG殺毒，同樣是Linux機器中不錯的殺毒專家，免費版提供的特性比高級版要少。AVG目前還不支持圖形界面。提供防病毒和防間諜工具，AVG運行速度很快，佔用系統資源很少，支持主流Linux版本

E. linux chattr被木馬了 怎麼辦

方法/步驟

首先我們要先確定是哪台機器的網卡在向外發包，還好我們這邊有zabbix監控，我就一台一台的檢查，發現有一台的流量跑滿了，問題應該出現在這台機器上面

我登錄到機器裡面，查看了一下網卡的流量，我的天啊，居然跑了這個多流量。

這台機器主要是運行了一個tomcat WEB服務和oracle資料庫，問題不應該出現在WEB服務和資料庫上面，我檢查了一下WEB日誌，沒有發現什麼異常，查看資料庫也都正常，也沒有什麼錯誤日誌，查看系統日誌，也沒有看到什麼異常，我趕緊查看了一下目前運行的進程情況，看看有沒有什麼異常的進程，一查看，果然發現幾個異常進程，不仔細看還真看不出來，這些進程都是不正常的。

這是個什麼進程呢，我每次ps -ef都不一樣，一直在變動，進程號一一直在變動中，我想看看進程打開了什麼文件都行，一時無從下手，想到這里，我突然意識到這應該都是一些子進程，由一個主進程進行管理，所以看這些子進程是沒有用的，即便我殺掉他們還會有新的生成，擒賊先擒王，我們去找一下主進程，我用top d1實時查看進程使用資源的情況，看看是不是有異常的進程佔用cpu內存等資源，發現了一個奇怪的進程，平時沒有見過。這個應該是我們尋找的木馬主進程。

我嘗試殺掉這個進程，killall -9 ueksinzina，可是殺掉之後ps -ef查看還是有那些子進程，難道沒有殺掉？再次top d1查看，發現有出現了一個其他的主進程，看來殺是殺不掉的，要是那麼容易殺掉就不是木馬了。

可以看到裡面有個定時任務gcc4.sh，這個不是我們設定的，查看一下內容更加奇怪了，這個應該是監聽程序死掉後來啟動的，我們這邊把有關的配置全部刪掉，並且刪掉/lib/libudev4.so。

在/etc/init.d/目錄下面也發現了這個文件。

裡面的內容是開機啟動的信息，這個我們也給刪掉

到此為止，沒有新的木馬進程生成，原理上說是結束掉了木馬程序，後面的工作就是要清楚這些目錄產生的文件，經過我尋找，首先清除/etc/init.d目錄下面產生的木馬啟動腳本，然後清楚/etc/rc#.d/目錄下面的連接文件。

10
後來我查看/etc目錄下面文件的修改時間，發現ssh目錄下面也有一個新生成的文件，不知道是不是有問題的。清理差不多之後我們就要清理剛才生成的幾個文件了，一個一個目錄清楚，比如"chattr -i /tmp"，然後刪除木馬文件，以此類推刪除/bin、/usr/bin目錄下面的木馬，到此木馬清理完畢。

F. 公司一台Linux伺服器頻繁被掛馬，求解決方法

安裝LINUX殺毒軟體，重新更換OA埠，我們這里不允許企業或者公司自建網站伺服器，網站都是購買空間或者租用，託管伺服器，，伺服器根本不在自己公司，就減少了中毒，黑客的事情
公司也就留個什麼OA伺服器啊這些，換個埠，改密碼，勤殺毒

G. 如何查linux的nginx是否被掛馬

linux系統相對比windows安全，但是有些程序上的不安全行為。不管你是什麼系統，一樣也會存在危險因素，在這里，我們總結出了linux系統下的一些常見排除木馬和加固系統安全性的方法。

1、改變目錄和文件屬性，禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;

註：當然要排除上傳目錄、緩存目錄等；
同時最好禁止chmod函數，攻擊者可通過chmod來修改文件只讀屬性再修改文件

2、php的危險配置
禁用一些危險的php函數，例如：

passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
syslog,show_source

3、nginx安全方面的配置

限制一些目錄執行php文件

location~^/images/.*\.(php|php5)$
{
denyall;
}

location~^/static/.*\.(php|php5)$
{
denyall;
}

location~*^/data/(attachment|avatar)/.*\.(php|php5)$
{
denyall;
}

註：這些目錄的限制必須寫在

location~.*\.(php|php5)$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}

的前面，否則限制不生效!
path_info漏洞修正：
在通用fcgi.conf頂部加入

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}

4、linux系統下查找php的相關木馬

php木馬一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

find /data/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /root/scan.txt

另外也有上傳任意文件的後門,可以用上面的方法查找所有包括"move_uploaded_file"的文件.

還有常見的一句話後門：

grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > grep.txt

把搜索結果寫入文件，下載下來慢慢分析，其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找，上傳圖片肯定有也捆綁的，來次大清洗。

5、查找近3天被修改過的文件：

find /data/www -mtime -3 -type f -name \*.php

注意：攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找，所以touch必須禁止

6、查找所有圖片文件

查找所有圖片文件gif,jpg.有些圖片內容里被添加了php後門腳本.有些實際是一個php文件,將擴展名改成了gif了.正常查看的情況下也可以看到顯示的圖片內容的.這一點很難發現.

曾給客戶處理過這類的木馬後門的.發現在php腳本里include一個圖片文件,經過查看圖片文件源代碼,發現竟然是php腳本.

好了。安全加固你的php環境是非常重要的運維工作，大家還有什麼其他加固安全的好方法，可以拿過來分享一下。

提示：如果上面顯示空白或者頁面排版混亂、內容顯示不完整等影響閱讀的問題，請點擊這兒瀏覽原文

返回腳本百事通首頁 如果您喜歡腳本編程技術，歡迎加入QQ群：246889341，在群里認識新朋友和交流技術^_^
Linux下查找後門程序
每個進程都會有一個PID，而每一個PID都會在/proc目錄下有一個相應的目錄，這是Linux（當前內核2.6）系統的實現。

一般後門程序，在ps等進程查看工具里找不到，因為這些常用工具甚至系統庫在系統被入侵之後基本上已經被動過手腳（網上流傳著大量的rootkit。假如是內核級的木馬，那麼該方法就無效了）。
因為修改系統內核相對復雜（假如內核被修改過，或者是內核級的木馬，就更難發現了），所以在/proc下，基本上還都可以找到木馬的痕跡。

思路：
在/proc中存在的進程ID，在 ps 中查看不到（被隱藏），必有問題。
Bash Shell:
#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`"
for i in /proc/[[:digit:]]*; do
if echo "$str_pids" | grep -qs `basename "$i"`; then
:
else
echo "Rootkit's PID: $(basename "$i")"
fi
done

討論：
檢查系統(Linux)是不是被黑，其復雜程度主要取決於入侵者「掃尾工作」是否做得充足。對於一次做足功課的入侵來說，要想剔除干凈，將是一件分精密、痛苦的事情，通常這種情況，需要用專業的第三方的工具（有開源的，比如tripwire，比如aide）來做這件事情。
而專業的工具，部署、使用相對比較麻煩，也並非所有的管理員都能熟練使用。

實際上Linux系統本身已經提供了一套「校驗」機制，在檢查系統上的程序沒有被修改。比如rpm包管理系統提供的 -V 功能：
rpm -Va
即可校驗系統上所有的包，輸出與安裝時被修改過的文件及相關信息。但是rpm系統也可能被破壞了，比如被修改過。

H. 網站被掛馬，求個方法批量刪除惡意代碼。linux命令。

這個是php加密的木馬，如果程序不是很大，可以自己比對以前程序的備份文件，然後就是修復，或者換個伺服器，最好是獨立伺服器。也可以通過安全公司來解決，國內也就Sinesafe和綠盟等安全公司 比較專業.

I. destoon網站被掛馬了，請問在Linux下目錄的安全許可權

花木搜網目前情緒穩定