https://www.cnblogs.com/mu0ne/p/12777603.html

1|0快速识别Linux病毒

1|1善用Google

基本上Google可以识别出99%的病毒。

1|2搜索病毒特征

1、异常进程名，使用top命令查看系统中的进程状态。
2、进程对应网关域名/IP，使用netstat -antp查看即可。

1|3搜索主机可疑特征

定时任务

查看定时任务corntab -l

查看可疑脚本的内容，根据内容再来分析。

可疑文件路径

查看主目录的文件详情，不要忘记查看隐藏文件。

可疑网络链接

同上，netstat -antp

1|4常见Linux病毒家族

老一辈家族： BillGates
新生代家族： DDG、SystemdMiner、StartMiner、WatchDogMiner、XorDDos、Icnanker
IoT家族： Mirai、Gafgyt

BillGates

病毒特点：
1、在/tmp目录下有gates.lod、moni.lod文件。
2、访问域名www.id666.pw。
3、将系统文件（ss、netstat、ps）替换成病毒的伪装文件。

DDG

病毒特点：
1、tmp目录下有ddgs.+数字的ELF文件。
2、存在下载i.sh的定时任务。

SystemedMiner

病毒特点：
1、访问带有tor2web、onion字符串的域名。
2、在/tmp目录下有systemd*的文件（后期版本为随机名）。
3、存在运行systemd-login的定时任务（后期版本为随机名）。

StartMiner

病毒特点：
1、定时任务里有包含2start.jpg的字符串。
2、/tmp目录下存在名为x86_*的病毒文件。
3、有多个病毒伪装定时任务文件：apache、nginx、root。

WatchdogsMiner

病毒特点：
1、存在执行pastebin.com上恶意代码的定时任务。
2、/tmp目录下存在一个名为watchdogs的病毒文件。

XorDDos

病毒特点：
1、存在病毒文件/lib/libudev.so。
2、在/usr/bin，/bin，/lib，/tmp目录下有随机名病毒文件。
3、存在执行gcc.sh的定时任务。

Mirai

病毒特点：
1、多平台攻击，病毒文件中带有架构名。
2、由于代码开源，Mirai每天都在变种。

2|0常规病毒清除方法

2|1第一步

定位进程top
清除进程kill -9 [pid]

2|2第二步

根据进程信息定位文件ls /porc/[pid]/exe
删除文件/文件夹rm -rf [filepath/dir_path]

2|3第三步

检查定时任务crontab -l或者ll /etc/cron.d

清空定时任务crontab -r
删除指定定时任务grep -r “curl” /var/spool/cron
删除定时任务文件rm /etc/cron.d/[file]

3|0顽固病毒处理方法

3|1对抗技巧

文件/定时任务删除失败-------------------文件只读属性保护
文件/定时任务删完又出现-----------------系统文件替换/下载进程残留
病毒进程刚刚删完又被拉起---------------恶意进程守护
主机严重卡顿但找不到挖矿进程-----------系统命令劫持
主机杀干净后一段时间又出现病毒---------ssh&漏洞再次入侵