【每日一记11】---病毒处置之Linux应急响应技巧

在SIP平台，发现一个地方有知识宝库，现将晚上学习的整理出来奉献给大家。大家若有兴趣可自行去学习查看。

一、识别现象

1.1、检测系统CPU

通过top命令查看，CPU进行降序排序；若CPU占用率超过70%且名字比较可疑的进程，大概率是挖矿病毒。

1.2、查看可疑进程

通过ps -aux命令查看进程，若命令行中带有url等奇怪的字符串时，很可能是病毒downloader。

1.3、查看可疑历史

通过日志进行查看有无恶意命令

二、清除病毒

2.1、结束病毒进程

2.2、删除病毒文件

三、闭环加固

3.1、检查是否存在可疑定时任务

3.2、检查是否存在可疑服务
查看主机所有服务，查看是否有恶意服务：service --status-all
3.3、检查系统文件是否被劫持
查看系统文件夹的文件，按修改事件排序查看7天内被修改过的文件：
find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls-la
3.4、检查是否存在病毒守护进程
监控守护进程的行为：lsof -p [pid]

3.5、加固操作

（1）修改SSH密码，提高密码复杂度；

（2）添加日志审计等功能

（3）打上缺少的web漏洞补丁

谢谢楼主分享，打卡学习。

加固操作
（1）修改SSH密码，提高密码复杂度；
（2）添加日志审计等功能
（3）打上缺少的web漏洞补丁

打卡学习

打卡打卡

打卡学习

为什么已经下线了

打卡学习