linux查找木马

A. 如何查杀linux系统下的木马

试试腾讯电脑管家查杀，严格控制病毒的检测，采用的是误报率极低的云查杀技术，确保扫描出来的结果一定是最准确的。而且为了确保万无一失，电脑管家默认采取可恢复的隔离方式清除病毒，如果万一您发现已清除的病毒是正常的文件，您还可以通过隔离区进行恢复。
您可以点击杀毒标签页下角的“隔离区”，在列表中选中想要恢复的文件，再点击“恢复”按钮，即可轻松恢复误删除的文件。

B. 如何查linux的nginx是否被挂马

linux系统相对比windows安全，但是有些程序上的不安全行为。不管你是什么系统，一样也会存在危险因素，在这里，我们总结出了linux系统下的一些常见排除木马和加固系统安全性的方法。

1、改变目录和文件属性，禁止写入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;

注：当然要排除上传目录、缓存目录等；
同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件

2、php的危险配置
禁用一些危险的php函数，例如：

passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
syslog,show_source

3、nginx安全方面的配置

限制一些目录执行php文件

location~^/images/.*\.(php|php5)$
{
denyall;
}

location~^/static/.*\.(php|php5)$
{
denyall;
}

location~*^/data/(attachment|avatar)/.*\.(php|php5)$
{
denyall;
}

注：这些目录的限制必须写在

location~.*\.(php|php5)$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}

的前面，否则限制不生效!
path_info漏洞修正：
在通用fcgi.conf顶部加入

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}

4、linux系统下查找php的相关木马

php木马一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

find /data/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /root/scan.txt

另外也有上传任意文件的后门,可以用上面的方法查找所有包括"move_uploaded_file"的文件.

还有常见的一句话后门：

grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > grep.txt

把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

5、查找近3天被修改过的文件：

find /data/www -mtime -3 -type f -name \*.php

注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

6、查找所有图片文件

查找所有图片文件gif,jpg.有些图片内容里被添加了php后门脚本.有些实际是一个php文件,将扩展名改成了gif了.正常查看的情况下也可以看到显示的图片内容的.这一点很难发现.

曾给客户处理过这类的木马后门的.发现在php脚本里include一个图片文件,经过查看图片文件源代码,发现竟然是php脚本.

好了。安全加固你的php环境是非常重要的运维工作，大家还有什么其他加固安全的好方法，可以拿过来分享一下。

提示：如果上面显示空白或者页面排版混乱、内容显示不完整等影响阅读的问题，请点击这儿浏览原文

返回脚本百事通首页 如果您喜欢脚本编程技术，欢迎加入QQ群：246889341，在群里认识新朋友和交流技术^_^
Linux下查找后门程序
每个进程都会有一个PID，而每一个PID都会在/proc目录下有一个相应的目录，这是Linux（当前内核2.6）系统的实现。

一般后门程序，在ps等进程查看工具里找不到，因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚（网上流传着大量的rootkit。假如是内核级的木马，那么该方法就无效了）。
因为修改系统内核相对复杂（假如内核被修改过，或者是内核级的木马，就更难发现了），所以在/proc下，基本上还都可以找到木马的痕迹。

思路：
在/proc中存在的进程ID，在 ps 中查看不到（被隐藏），必有问题。
Bash Shell:
#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`"
for i in /proc/[[:digit:]]*; do
if echo "$str_pids" | grep -qs `basename "$i"`; then
:
else
echo "Rootkit's PID: $(basename "$i")"
fi
done

讨论：
检查系统(Linux)是不是被黑，其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说，要想剔除干净，将是一件分精密、痛苦的事情，通常这种情况，需要用专业的第三方的工具（有开源的，比如tripwire，比如aide）来做这件事情。
而专业的工具，部署、使用相对比较麻烦，也并非所有的管理员都能熟练使用。

实际上Linux系统本身已经提供了一套“校验”机制，在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能：
rpm -Va
即可校验系统上所有的包，输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了，比如被修改过。

C. linux下查找木马是怎么查找

不用查找。一般认为linux不会中毒。

D. linux服务器中木马怎么处理

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：

一、Web Server（以Nginx为例）

1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）

2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新编译Web Server，隐藏Server信息

5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。

二.改变目录和文件属性，禁止写入

find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
注：当然要排除上传目录、缓存目录等；

同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危险函数：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.Mysql数据库账号安全：

禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。

五.查杀木马、后门

grep -r –include=*.php ‘[^a-z]eval($_POST’ . > grep.txt
grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . > grep.txt
把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

查找近2天被修改过的文件：

find -mtime -2 -type f -name \*.php
注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

六.及时给Linux系统和Web程序打补丁，堵上漏洞

E. linux 怎么看那个文件被种木马

1，这个只能靠杀毒软件检测，不然就会误删
2，可以使用电脑管家
3，打开选择全盘杀毒，可以找出电脑里面所有隐藏的病毒，然后一键删除。

F. linux web服务器被挂马很久了怎么查找木马文件

可以打开腾讯智慧安全的页面
然后在产品里面找到御点终端全系统
接着在里面选择申请使用腾讯御点，再去用病毒查杀功能杀毒

G. 如何防止Linux系统中木马

Linux下的木马通常是恶意者通过Web的上传目录的方式来上传木马到Linux服务器，为做防护，我们可根据从恶意者访问网站开始-->Linux系统-->HTTP服务-->中间件服务-->程序代码-->DB-->存储，逐一设卡防护。
1.开发程序代码对上传文件类型做限制，例如不能上传.php程序。
2.对上传的内容进行检测，检测方式可通过程序、Web服务层、数据库等层面控制。
3.控制上传目录的权限以及非站点目录的权限。
4.传上木马文件后的访问和执行控制。
5.对重要配置文件、命令和WEB配置等文件做md5指纹及备份。
6.安装杀毒软件，定期监测查杀木马。
7.配置服务器防火墙及入侵检测服务。
8.监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。

H. Linux系统如何清除木马

可以直接腾讯电脑管家查杀
操作起来也很简便的，查杀木马病毒也很快速哦！我们安装登录后在主页面最下面找到第二个病毒查杀功能键，点击进入就可以享受到它强大的查杀效果啦。右上角还有轻巧模式和传统模式相互切换的键呢，我们可以选择自己喜欢的操作界面哦！