Linux 病毒排查指南 🔍

  • 本指南是一份全面且实用的Linux病毒排查实战手册,从最初的症状识别到最终的清除修复,提供了完整的排查流程和具体的操作命令。无论你是遭遇了挖矿病毒、勒索软件,还是其他类型的恶意程序,都能通过本指南提供的系统化方法快速定位问题并有效解决。

导航目录 📚

一、⚡ 查看引起CPU飙高的进程

📊 使用 top 命令

1
top

特点:按 P 键按 CPU 使用率排序,实时监控系统资源占用情况 ✨

🖥️ 使用 htop(更直观)

1
2
3
# 如果未安装,先安装
apt install htop
htop

优势:彩色界面,更直观的进程树展示,支持鼠标操作 🎯

🔍 使用 ps 命令查看进程详情

1
2
3
4
5
# 按CPU使用率排序
ps aux --sort=-%cpu | head -10

# 按内存使用率排序
ps aux --sort=-%mem | head -10

功能:精确获取资源占用最高的前10个进程 📈

二、👻 检查隐藏进程

🛠️ 安装和使用 unhide 工具

1
2
3
4
5
6
7
8
# 安装 unhide
apt install -y unhide

# 快速扫描隐藏进程
unhide quick

# 全面扫描(更耗时)
unhide brute

特点:专业检测隐藏进程和rootkit工具 🔧

🔎 其他检测隐藏进程的方法

1
2
3
4
# 检查进程与文件系统的差异
ps -ef | awk '{print $2}' | sort -n > /tmp/ps_pids
find /proc -maxdepth 1 -type d -name '[0-9]*' | awk -F'/' '{print $3}' | sort -n > /tmp/proc_pids
diff /tmp/ps_pids /tmp/proc_pids

原理:通过对比进程列表和/proc目录发现隐藏进程 🕵️

三、📁 定位病毒文件

🎯 通过进程ID定位可执行文件

1
2
3
4
5
# 查看进程对应的可执行文件路径
ll /proc/<PID>/exe

# 示例
ll /proc/6113/exe

📝 查看进程详细信息

1
2
3
4
5
# 查看特定进程的详细信息
ps -ef | grep <PID>

# 示例输出
# root      4136     1  98 13:50 ?        00:00:23 /bin/bash /var/tmp/.sys/cpu.sh

📂 查看进程打开的文件

1
2
3
4
5
# 查看进程打开的所有文件
lsof -p <PID>

# 查看进程的工作目录
ll /proc/<PID>/cwd

🔧 检查进程环境变量

1
cat /proc/<PID>/environ | tr '\0' '\n'

功能:查看进程运行时的环境配置,发现异常变量 ⚙️

四、⏰ 检查系统计划任务

👤 查看当前用户的计划任务

1
2
3
4
5
# 查看当前用户计划任务
crontab -l

# 查看root用户计划任务(需要root权限)
crontab -u root -l

📁 检查系统计划任务目录

1
2
3
4
5
6
7
8
9
# 查看系统计划任务目录
ls -la /etc/cron.d/
ls -la /etc/cron.hourly/
ls -la /etc/cron.daily/
ls -la /etc/cron.weekly/
ls -la /etc/cron.monthly/

# 查看 /etc/crontab 文件
cat /etc/crontab

🔍 检查其他常见的持久化位置

1
2
3
4
5
6
7
8
9
10
# 检查系统服务
systemctl list-units --type=service

# 检查开机启动项
ls -la /etc/rc.local
ls -la /etc/init.d/

# 检查profile文件
cat /etc/profile
cat ~/.bashrc

重要性:病毒常在这些位置设置持久化机制 🔄

五、🌐 网络连接检查

🔍 查看异常网络连接

1
2
3
4
5
6
7
8
# 查看所有网络连接
netstat -tunlp

# 使用ss命令(更现代)
ss -tunlp

# 查看可疑的对外连接
netstat -anp | grep ESTABLISHED

📡 检查进程网络连接

1
2
3
4
5
# 查看特定进程的网络连接
lsof -i -P -n | grep <PID>

# 或者使用
netstat -tunlp | grep <PID>

功能:发现异常外连行为,识别C&C服务器通信 🌍

六、📊 系统日志分析

📝 检查系统日志

1
2
3
4
5
6
7
8
9
# 查看系统日志
tail -f /var/log/syslog
tail -f /var/log/messages

# 查看认证日志
tail -f /var/log/auth.log

# 使用journalctl(systemd系统)
journalctl -f

特点:实时监控系统活动,发现异常登录和执行记录 🔎

七、📂 文件系统检查

🔎 查找可疑文件

1
2
3
4
5
6
7
8
9
# 查找近期修改的文件
find / -mtime -7 -type f 2>/dev/null

# 查找隐藏文件和目录
find / -name ".*" -type f 2>/dev/null
find / -name ".*" -type d 2>/dev/null

# 查找可疑的脚本文件
find / -name "*.sh" -o -name "*.pl" -o -name "*.py" 2>/dev/null

技巧:重点关注/tmp、/var/tmp等临时目录 🎯

八、🧹 清除和修复

🚫 终止恶意进程

1
2
3
4
5
# 终止进程
kill -9 <PID>

# 强制终止进程及其子进程
pkill -9 -f "process_name"

🗑️ 删除恶意文件

1
2
3
4
5
6
# 删除病毒文件
rm -f /path/to/malicious/file

# 如果是只读文件,先取消只读属性
chattr -i /path/to/malicious/file
rm -f /path/to/malicious/file

📋 清理计划任务

1
2
3
4
5
# 编辑计划任务并删除恶意条目
crontab -e

# 或者直接删除所有计划任务
crontab -r

九、🛡️ 预防措施

🔒 系统安全加固

1
2
3
4
5
6
7
8
9
# 保持系统更新
apt update && apt upgrade

# 安装安全工具
apt install -y fail2ban rkhunter chkrootkit

# 定期扫描
rkhunter --check
chkrootkit

推荐工具

  • fail2ban 🚫 - 防止暴力破解
  • rkhunter 🔍 - Rootkit检测
  • chkrootkit 🛡️ - 系统完整性检查

📈 监控系统资源

1
2
3
4
# 安装监控工具
apt install -y nmon iotop iftop

# 设置资源监控告警

监控重点:CPU异常、内存泄漏、异常网络流量 📊

💡 总结

通过以上系统的排查步骤,可以有效地发现和处理Linux系统中的病毒和恶意程序 ✨。建议定期进行系统安全检查,并保持系统和安全工具的更新,构建多层次的安全防护体系 🛡️。

最佳实践

  • 定期备份重要数据 💾
  • 实施最小权限原则 🔐
  • 启用系统审计功能 📝
  • 建立安全监控告警 🚨

记住:预防胜于治疗!建立完善的安全防护体系是避免病毒入侵的最佳策略 🎯。