资料:https://www.cnblogs.com/anbuxuan/p/11837007.html
总结补充:
大概流程:识别现象 -> 清除病毒 -> 彻底清理 -> 系统加固
一、识别现象:
-
系统CPU异常
命令:top ; ps -aux -
可疑进程
top ; ps -aux -
设备报警
安全设备的报警
监控与目标IP通信的进程:while true; do netstat -antp | grep [ip]; done
二、清除病毒:
-
结束病毒进程:
ps -elf|kill -9 <pid>
-
删除病毒文件
根据pid查找进程文件:ls -al /proc/<pid>
三、彻底清理:
-
检查定时任务:
crontab :
-r : 删除目前的时程表
-l : 列出目前的时程表查看anacron异步定时任务:
cat /etc/anacrontab
-
检查可疑服务
:service --status-all
-
检查系统文件是否被劫持
-
检查是否存在病毒守护进程
-
扫描是否存在恶意驱动
lsmod
安装chkrootkit 进行扫描
安装rkhunter 进行扫描
四、系统加固:
,大部分原因也是因为Web安全防护不够,赶紧检查一下。
修改SSH弱密码
为历史的命令增加登录的IP地址、执行命令时间等信息:
打web漏洞补丁等