之前又個客戶說自己的linux機器有,活動鏈接數大,CPU高的特點。
客戶初步處置:斷網,下線,重啓。
我給他們提了個處置步驟,結果就沒下文了。。。。。建議如下:
(0)查看歷史命令,最近打開文件。
(1)確認服務器日常應用,應用進程名,文件路徑,進程開放端口。
(2)查看活躍進程,進程打開文件,內存字符串信息,特權用戶。
(3)查看網絡鏈接,建立鏈接的網絡情況,在監聽的網絡情況
(4)查看用戶登陸情況,近期登陸日誌,登陸用戶名,登陸IP。
(5)查看開機啓動,病毒爲了能多次啓動駐留系統,常常會有自啓動。
(6)計劃任務,自啓動手法的一種,多見於挖礦類病毒。
(7)關鍵目錄排查,系統tmp目錄,var等病毒長駐路徑下的可疑文件排查。
(8)開放端口,檢查開放端口,看是否有異常端口,常常會用於病毒的通信。
(9)安全日誌,系統日誌,應用日誌等查詢,從日誌文件中查找異常情況。
(10)全盤文件導出,使用殺毒軟件掃描查殺。
(11)使用md5值對比,將文件導出計算hash和正常的系統文件hash對比,檢查出有問題的文件。
(12)審覈應用,補丁情況,查看是否由漏洞***導致服務器問題,查找其它可能的***痕跡。
(13)審覈帳戶信息,已有帳戶情況,特權帳戶。
(14)rootkit的檢查,一些惡意代碼使用進程等隱藏手段不易檢出,使用rootkit檢查工具。
(14)獲取到異常樣本後的樣本詳細分析。