linux被挂马

A. linux 被攻击后怎么排查挂马的病毒

理论上每一个活动进程都可以是怀疑对象
毕竟像ubuntu它并没有承诺不挂木马

一个一个排查活动进程

B. linux服务器中木马怎么处理

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：

一、Web Server（以Nginx为例）

1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）

2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新编译Web Server，隐藏Server信息

5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。

二.改变目录和文件属性，禁止写入

find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
注：当然要排除上传目录、缓存目录等；

同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危险函数：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.Mysql数据库账号安全：

禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。

五.查杀木马、后门

grep -r –include=*.php ‘[^a-z]eval($_POST’ . > grep.txt
grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . > grep.txt
把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

查找近2天被修改过的文件：

find -mtime -2 -type f -name \*.php
注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

六.及时给Linux系统和Web程序打补丁，堵上漏洞

C. 查出Linux下网站哪些文件被挂马的办法

重点是template目录下的模板文件被让写入..设置下这个目录的权限吧

D. 求助：linux服务器遭挂马，如何对安全进行排查

常用的免费杀毒软件：
1、ClamAV 杀毒
ClamAV 杀毒是Linux平台最受欢迎的杀毒软件，现在正在用，非常好用，比如说你的ls命令被修改了，执行一次ls命令就启动一次病毒都可以扫描出来。可以把病毒扫描结果输出到日志，clamscan -r -i / -l /tmp/clamscan.log 具体安装很多，网络上都有。
2、AVG 免费版杀毒
现在有超过10亿用户使用AVG杀毒，同样是Linux机器中不错的杀毒专家，免费版提供的特性比高级版要少。AVG目前还不支持图形界面。提供防病毒和防间谍工具，AVG运行速度很快，占用系统资源很少，支持主流Linux版本

E. linux chattr被木马了 怎么办

方法/步骤

首先我们要先确定是哪台机器的网卡在向外发包，还好我们这边有zabbix监控，我就一台一台的检查，发现有一台的流量跑满了，问题应该出现在这台机器上面

我登录到机器里面，查看了一下网卡的流量，我的天啊，居然跑了这个多流量。

这台机器主要是运行了一个tomcat WEB服务和oracle数据库，问题不应该出现在WEB服务和数据库上面，我检查了一下WEB日志，没有发现什么异常，查看数据库也都正常，也没有什么错误日志，查看系统日志，也没有看到什么异常，我赶紧查看了一下目前运行的进程情况，看看有没有什么异常的进程，一查看，果然发现几个异常进程，不仔细看还真看不出来，这些进程都是不正常的。

这是个什么进程呢，我每次ps -ef都不一样，一直在变动，进程号一一直在变动中，我想看看进程打开了什么文件都行，一时无从下手，想到这里，我突然意识到这应该都是一些子进程，由一个主进程进行管理，所以看这些子进程是没有用的，即便我杀掉他们还会有新的生成，擒贼先擒王，我们去找一下主进程，我用top d1实时查看进程使用资源的情况，看看是不是有异常的进程占用cpu内存等资源，发现了一个奇怪的进程，平时没有见过。这个应该是我们寻找的木马主进程。

我尝试杀掉这个进程，killall -9 ueksinzina，可是杀掉之后ps -ef查看还是有那些子进程，难道没有杀掉？再次top d1查看，发现有出现了一个其他的主进程，看来杀是杀不掉的，要是那么容易杀掉就不是木马了。

可以看到里面有个定时任务gcc4.sh，这个不是我们设定的，查看一下内容更加奇怪了，这个应该是监听程序死掉后来启动的，我们这边把有关的配置全部删掉，并且删掉/lib/libudev4.so。

在/etc/init.d/目录下面也发现了这个文件。

里面的内容是开机启动的信息，这个我们也给删掉

到此为止，没有新的木马进程生成，原理上说是结束掉了木马程序，后面的工作就是要清楚这些目录产生的文件，经过我寻找，首先清除/etc/init.d目录下面产生的木马启动脚本，然后清楚/etc/rc#.d/目录下面的连接文件。

10
后来我查看/etc目录下面文件的修改时间，发现ssh目录下面也有一个新生成的文件，不知道是不是有问题的。清理差不多之后我们就要清理刚才生成的几个文件了，一个一个目录清楚，比如"chattr -i /tmp"，然后删除木马文件，以此类推删除/bin、/usr/bin目录下面的木马，到此木马清理完毕。

F. 公司一台Linux服务器频繁被挂马，求解决方法

安装LINUX杀毒软件，重新更换OA端口，我们这里不允许企业或者公司自建网站服务器，网站都是购买空间或者租用，托管服务器，，服务器根本不在自己公司，就减少了中毒，黑客的事情
公司也就留个什么OA服务器啊这些，换个端口，改密码，勤杀毒

G. 如何查linux的nginx是否被挂马

linux系统相对比windows安全，但是有些程序上的不安全行为。不管你是什么系统，一样也会存在危险因素，在这里，我们总结出了linux系统下的一些常见排除木马和加固系统安全性的方法。

1、改变目录和文件属性，禁止写入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;

注：当然要排除上传目录、缓存目录等；
同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件

2、php的危险配置
禁用一些危险的php函数，例如：

passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,
ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,escapeshellcmd,popen,dl,
syslog,show_source

3、nginx安全方面的配置

限制一些目录执行php文件

location~^/images/.*\.(php|php5)$
{
denyall;
}

location~^/static/.*\.(php|php5)$
{
denyall;
}

location~*^/data/(attachment|avatar)/.*\.(php|php5)$
{
denyall;
}

注：这些目录的限制必须写在

location~.*\.(php|php5)$
{
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
include fcgi.conf;
}

的前面，否则限制不生效!
path_info漏洞修正：
在通用fcgi.conf顶部加入

if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}

4、linux系统下查找php的相关木马

php木马一般含有<?php eval($_POST[cmd]);?>或者<?php assert($_POST[cmd]);?>

find /data/wwwroot/* -type f -name "*.php" |xargs grep "eval(" > /root/scan.txt

另外也有上传任意文件的后门,可以用上面的方法查找所有包括"move_uploaded_file"的文件.

还有常见的一句话后门：

grep -r --include=*.php '[^a-z]eval($_POST' . > grep.txt
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' . > grep.txt

把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

5、查找近3天被修改过的文件：

find /data/www -mtime -3 -type f -name \*.php

注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

6、查找所有图片文件

查找所有图片文件gif,jpg.有些图片内容里被添加了php后门脚本.有些实际是一个php文件,将扩展名改成了gif了.正常查看的情况下也可以看到显示的图片内容的.这一点很难发现.

曾给客户处理过这类的木马后门的.发现在php脚本里include一个图片文件,经过查看图片文件源代码,发现竟然是php脚本.

好了。安全加固你的php环境是非常重要的运维工作，大家还有什么其他加固安全的好方法，可以拿过来分享一下。

提示：如果上面显示空白或者页面排版混乱、内容显示不完整等影响阅读的问题，请点击这儿浏览原文

返回脚本百事通首页 如果您喜欢脚本编程技术，欢迎加入QQ群：246889341，在群里认识新朋友和交流技术^_^
Linux下查找后门程序
每个进程都会有一个PID，而每一个PID都会在/proc目录下有一个相应的目录，这是Linux（当前内核2.6）系统的实现。

一般后门程序，在ps等进程查看工具里找不到，因为这些常用工具甚至系统库在系统被入侵之后基本上已经被动过手脚（网上流传着大量的rootkit。假如是内核级的木马，那么该方法就无效了）。
因为修改系统内核相对复杂（假如内核被修改过，或者是内核级的木马，就更难发现了），所以在/proc下，基本上还都可以找到木马的痕迹。

思路：
在/proc中存在的进程ID，在 ps 中查看不到（被隐藏），必有问题。
Bash Shell:
#!/bin/bash
str_pids="`ps -A | awk '{print $1}'`"
for i in /proc/[[:digit:]]*; do
if echo "$str_pids" | grep -qs `basename "$i"`; then
:
else
echo "Rootkit's PID: $(basename "$i")"
fi
done

讨论：
检查系统(Linux)是不是被黑，其复杂程度主要取决于入侵者“扫尾工作”是否做得充足。对于一次做足功课的入侵来说，要想剔除干净，将是一件分精密、痛苦的事情，通常这种情况，需要用专业的第三方的工具（有开源的，比如tripwire，比如aide）来做这件事情。
而专业的工具，部署、使用相对比较麻烦，也并非所有的管理员都能熟练使用。

实际上Linux系统本身已经提供了一套“校验”机制，在检查系统上的程序没有被修改。比如rpm包管理系统提供的 -V 功能：
rpm -Va
即可校验系统上所有的包，输出与安装时被修改过的文件及相关信息。但是rpm系统也可能被破坏了，比如被修改过。

H. 网站被挂马，求个方法批量删除恶意代码。linux命令。

这个是php加密的木马，如果程序不是很大，可以自己比对以前程序的备份文件，然后就是修复，或者换个服务器，最好是独立服务器。也可以通过安全公司来解决，国内也就Sinesafe和绿盟等安全公司 比较专业.

I. destoon网站被挂马了，请问在Linux下目录的安全权限

花木搜网目前情绪稳定