如何处理linux恶意程序

一、准备实验环境SYN洪水攻击

一台Windows Server 做控制端、一台linux服务器做被控制端（肉机），使用软件如下：

点击生成器输入控制端的IP生成木马文件txma，10771是控制监控程序，如果有被控制端上线立马可以在控制台发现，将txma上传到linux服务器，设置可执行权限并运行此木马，结果如下：

被控制端：将txma上传到linux服务器，设置可执行权限并运行此木马

注意 id是闲置的cpu

控制端：有肉机上线发起攻击设置攻击的服务器ip和端口

二、肉机上线发现清除木马进程

可以发现id是0 CPU可用是0，有个进程txma PID 2187使用的CPU过多异常情况

可以使用killall tama 或者 kill -9 2187netstat -natp 命令

可以发现linux服务器开启一个本地异常端口连接另一个IP的端口

此时也能确认PID是2187，可以使用kill -9 2187清除木马文件

[root@k8s-master ~]# find / -name "*txma*" /root/txma /usr/bin/txma /usr/local/bin/txma [root@k8s-master ~]#

查到木马文件进行删除

三、清除木马自动复活点

crontab -e 也可以在cat /var/spool/cron/root查看 #注意 这是用户计划任务要查询每一个用户的

cat /etc/crontab 这是系统计划任务 #注意 格式需要指明那个用户执行系统自启动复活木马

在/etc/rc.local 文件中添加木马启动命令，这个文件在开机后会执行一些自动加载的文件复活木马

/etc/profile #所有用户登录系统时自动执行此文件，木马复活下载运行可以放到这里；

.bash_profile用户家目录下面的 #当前此用户登录系统会执行，木马复活下载运行可以放到这里 ；

/etc/bashrc #所有子shell都会执行此文件，木马复活下载运行可以放到这里 ；

.bashrc 用户家目录下面的 #当前此用户子shell会执行，木马复活下载运行可以放到这里 ；

注意文件的扩展属性：

chattr +i 文件名 #文件只读

lsattr #查看rootkit后门复活木马

rootkit后门是用户执行常用的命令时候，复活木马程序，此时系统命令被感染。

一般是合并木马文件和命令文件、或者写脚本关联使用软连接到命令

例如：

cat txma /usr/bin/ps >> ps1

which ps 把ps1 软连到ps

四、 断木马下载的后路

linux系统不安装下载的命令 例如：curl wget等

五、删除木马创建的用户

userdel -r 用户名 #如果删除不了是因为此用户有运行的进程，需要kill此用户的所运行的进程

六、添加微信公众号一起进步

资料下载 /download/qq_31555951/12162212

如果觉得《如何处理linux恶意程序》对你有帮助，请点赞、收藏，并留下你的观点哦！