近期有协助网友排查一次Linux云主机中了挖矿病毒的情况:
(图片可放大查看)
溯源排查基本步骤可以参考这篇经典文章
网上类似这样文章我也收藏了一些,都总结得非常不错
当然应对Linux入侵时我们也可以使用一些自动化的安全工具协助排查溯源 并进行安全加固
之前也有发过CentOS安全加固的几篇文章
也介绍过lynis安全基线检查工具
下面介绍近期我所接触过的几款Linux安全工具
GScan程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。
作者:咚咚呛
下载地址
https://github.com/grayddq/GScan
(图片可放大查看)
-h --help 查看帮助
python GScan.py -h
(图片可放大查看)
(图片可放大查看)
根据异常风险生成初步的处理方案
python GScan.py --pro
(图片可放大查看)
(图片可放大查看)
启用完全扫描
python GScan.py --full
(图片可放大查看)
rkhunter也叫”Rootkit猎手”, rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。
rootkit主要有两种类型:文件级别和内核级别。
1)、配置EPEL源后安装rkhunter
yum install rkhunter
(图片可放大查看)
vi /etc/sysconfig/rkhunter
DIAG_SCAN=no修改为yes
(图片可放大查看)
2)、在线升级rkhunter 的rootkit木马库
rkhunter --update
3)、为基本系统程序建立校对样本
建议系统安装完成后就建立
rkhunter --propupd
#样本文件位置 /var/lib/rkhunter/db/rkhunter.dat
4)、执行检测命令
如果不想要每个部分都按 Enter 键来继续,想要让程序自动持续执行,可以使用 --sk参数, --skip-keypress
rkhunter --check --sk
(图片可放大查看)
(图片可放大查看)
(图片可放大查看)
ClamAV(Clam AntiVirus)是Linux平台上的开源病毒扫描程序,主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库
(图片可放大查看)
(图片可放大查看)
yum install clamav
(图片可放大查看)
2)更新病毒库
freshclam
(图片可放大查看)
3)clamscan扫描
clamscan -r -i / -l /var/log/clamav.log
(图片可放大查看)
(图片可放大查看)
本文分享自 WalkingCloud 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!