标签：文件 log 清除 扫描 clamscan XX linux 服务器 病毒

linux服务器中病毒后的清除处理
之前看到公司同事在部署服务器的时候，发现中了挖矿病毒，很是恼火。因为我平时很少接触服务器，一般都是部署项目，配置域名就完事。所以遇到这种情况，只能在一旁看着干着急。后来在网上查阅了很多资料，现决定来整理一下，下次如果遇到服务器中病毒的情况，可以拿来参考一下。

一、服务器为什么会中病毒？

1）服务器中病毒，其实是因为黑客的入侵。入侵者的每一次入侵几乎都是从扫描开始的，扫描软件首先会判断远程计算机是否存在，接着对存在的远程计算机进行扫描，探测其开放的端口。入侵者通过扫描的结果可以确定目标主机打开的端口、服务、以及存在的各种漏洞等信息，然后实施攻击。

2）最普遍的情况应该就是服务器被挂载木马病毒用以挖矿(比特币/门罗币…)。因为控制别人的电脑挖矿，成本为零。比如通过redis 6379端口，如果账号密码太简单或者没有设置密码，攻击者可能通过提权，获取到root的权限。然后在服务器中植入一系列的挖矿病毒。

二、症状表现

服务器CPU资源使用一直处于100%的状态或者更高，连接服务器的时候明显感觉到消耗的时间比以往要久。Kill该进程以后还会更换端口，很快就又被创建出来了。

三、排查方法

1、通过top命令查看，发现可疑进程比如XX

2、查看进程：使用 ps -ef | grep XX 命令查看pid

1）使用命令ls -l proc/{进程号}/exe获取文件的绝对路径。下载下来，上传到VirusTotal，如果界面有相关的病毒显示信息。那就是病毒实锤了。如果没有，只能说明还没有其他用户提交该种类型病毒。

find $path -ctime -30 print #找到最近一段时间被修改的文件列表

2）直接 kill -9 pid（进程号）并删除 /tmp/XX执行文件。如果，没有过多久，进程又运行了，这时就应该想到，XX 有守护程序或者有计划任务。通过 crontab -l 查看是否有可疑的计划任务。

3）使用 systemctl status pid（进程号） 发现 XX的守护进程。kill 掉 XX 守护进程 kill -9 pid1 pid2…，再 killall -9 XX挖矿病毒 。

4）进入/tmp目录(一般挖矿病毒的执行目录都在这里）。执行程序 rm -f /tmp/XX，如果删除的过程中，发现提示Operation not permitted（没有权限，无法删除），应该是入侵者使用了chattr命令将文件锁定了。这个时候我们使用命令： chattr -i 文件名 即可正常删除。

补充一下：lsattr可用来查看文件的属性：lsattr filename。如果文件属性中有i与a，或者有其中的一个可以使用chattr去掉这属性：chattr -ia filename 或者chatter -i filename

5）在/etc/目录下，将/etc/update.sh 也一并删除

6）检查是否还有免密登录的后门文件，将/root/.ssh/authorized_keys 也一并删除

7）检查定时任务：crontab -l

将可疑任务清除或者停止：crontab -r 或者service crontab stop

cat /var/spool/cron/root 检查清除

8）SSH秘钥删除

攻击者可能在/root/.ssh/里面留他们的秘钥，所以我们要清理掉，重新生成秘钥。

9）查看账号文件是否被修改

查看/root/.ssh/authotrized_keys，黑客就是通过ssh授权登录的，因此需要清除未知的账号信息，不过一般文件会被加上ia权限。上文已经讲过chattr命令的使用。

查看：lsattr /root/.ssh/authotrized_keys

解锁：chattr -ia /root/.ssh/authotrized_keys

编辑文件可修改：chmod 600 /root/.ssh/authotrized_keys

10）有的情况，还需要要删除链接文件，或者病毒启动文件。这个到时候再具体问题具体分析吧。检查/etc/init.d目录下的文件

四、检查

将服务器重启，检查是否还有异常

1）top查看以及使用 ps -ef | grep XX 命令查看

2）通过find / -name “XX” 命令搜索是否还有 XX文件

3）查看 Linux ssh 登陆审计日志。Centos 与 RedHat 审计日志路径为 /var/log/secure，Ubuntu 与 Debian 审计日志路径为 /var/log/auth.log。

4）检查 crontab 计划任务是否有可疑任务

五、后期防护

1、启用ssh公钥登陆，禁用密码登陆。

2、云主机：完善安全策略，入口流量，一般只开放 80、443 端口就行，出口流量默认可以不限制，如果有需要根据需求来限制。物理机：可以通过硬件防火墙或者机器上iptables 来开放出入口流量规则

3、本机不是直接需要对外提供服务，可以拒绝外网卡入口所有流量，通过 jumper 机器内网登陆业务机器。

4、有能力的话可以搭建安全扫描服务，定期检查机器上漏洞并修复。

5、安装Linux杀毒软件clamav:yum install clamav

1）在线升级病毒库：执行命令 freshclam或者 freshclam --verbose

2）扫描所有用户的主目录就使用命令 clamscan -r /home

3）扫描计算机上的所有文件并且显示所有的文件的扫描结果，就使用 clamscan -r /

grep Infected /tmp/all.log #查看被感染文件数量

grep -i found /tmp/all.log #查看被感染的文件

4）扫描计算机上的所有文件并且显示有问题的文件的扫描结果，就使用clamscan -r --bell -i /

/usr/local/clamav/bin/clamscan -r --remove（查杀当前目录并删除感染的文件）

/usr/local/clamav/bin/clamscan -r --bell -i / （扫描所有文件并且显示有问题的文件的扫描结果）

其他参数

-r/–recursive[=yes/no] 所有文件

–log=FILE/-l FILE 增加扫描报告

# clamscan -l /var/log/clamscan.log /

–move [路径] 移动病毒文件至…

–remove [路径] 删除病毒文件

–quiet 只输出错误消息

–infected/-i 只输出感染文件

–suppress-ok-results/-o 跳过扫描OK的文件

–bell 扫描到病毒文件发出警报声音

–unzip(unrar) 解压压缩文件扫描

–扫描根目录下文件，并指定日志文件：/var/log/clamscan.log

clamscan -r -l /var/log/clamscan.log / &

6、redis最好关掉外网访问权限，或者是修改默认端口。

参考链接：

https://msd.misuland.com/pd/3691885202524605942?page=1
https://www.cnblogs.com/ushowtime/p/11628002.html
https://blog.csdn.net/heian_99/article/details/105247415

标签：文件,log,清除,扫描,clamscan,XX,linux,服务器,病毒
来源： https://blog.csdn.net/donghaiming111/article/details/113994408

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。