一、檢測(cè)Linux系統(tǒng)中的惡意軟件

1. 檢查異常行為

(1) 高CPU或內(nèi)存占用

使用以下命令檢查系統(tǒng)中的異常進(jìn)程：

top 

或：

htop 

• 查找占用異常高的CPU或內(nèi)存的進(jìn)程。

(2) 檢查網(wǎng)絡(luò)連接

惡意軟件可能會(huì)嘗試建立外部連接：

netstat -tulnp 

或使用 ss：

ss -tulnp 

• 檢查是否有可疑的外部連接或監(jiān)聽端口。

(3) 檢查登錄歷史

查看是否有異常登錄記錄：

last 

• 檢查是否有未知IP或異常時(shí)間的登錄。

2. 使用惡意軟件掃描工具

(1) ClamAV

ClamAV 是一款開源的Linux惡意軟件掃描工具。

安裝 ClamAV：

# Ubuntu/Debian
sudo apt update && sudo apt install clamav clamav-daemon -y
 
# CentOS/RHEL
sudo yum install epel-release -y
sudo yum install clamav clamav-update -y

更新病毒數(shù)據(jù)庫(kù)：

sudo freshclam 

掃描系統(tǒng)：

# 掃描整個(gè)系統(tǒng)
sudo clamscan -r /
 
# 掃描并輸出詳細(xì)信息
sudo clamscan -r / -i

(2) Rkhunter

Rkhunter（Rootkit Hunter）專門用于檢測(cè)Linux系統(tǒng)中的Rootkit和后門。

安裝 Rkhunter：

# Ubuntu/Debian
sudo apt install rkhunter -y
 
# CentOS/RHEL
sudo yum install epel-release -y
sudo yum install rkhunter -y

更新數(shù)據(jù)庫(kù)：

sudo rkhunter --update 

掃描系統(tǒng)：

sudo rkhunter --check 

• 檢查掃描結(jié)果中的警告信息。

(3) Chkrootkit

Chkrootkit 是另一款輕量級(jí)Rootkit檢測(cè)工具。

安裝 Chkrootkit：

# Ubuntu/Debian
sudo apt install chkrootkit -y
 
# CentOS/RHEL
sudo yum install chkrootkit -y

掃描系統(tǒng)：

sudo chkrootkit 

• 輸出中如有異常，將標(biāo)記為 INFECTED。

(4) Lynis

Lynis 是一款強(qiáng)大的Linux安全審計(jì)工具，可以檢測(cè)安全隱患。

安裝 Lynis：

# Ubuntu/Debian
sudo apt install lynis -y
 
# CentOS/RHEL
sudo yum install lynis -y

掃描系統(tǒng)：

sudo lynis audit system 

• 檢查報(bào)告中是否有安全警告。

3. 手動(dòng)檢查惡意文件

(1) 查找隱藏文件

惡意軟件通常會(huì)隱藏文件：

find / -name ".*" -type f 2>/dev/null 

• 檢查可疑的隱藏文件。

(2) 檢查啟動(dòng)項(xiàng)

惡意軟件可能會(huì)設(shè)置自動(dòng)啟動(dòng)：

Systemd 服務(wù)：

systemctl list-units --type=service 

Cron 任務(wù)：

crontab -l
cat /etc/crontab
cat /var/spool/cron/*

(3) 檢查用戶賬戶

惡意軟件可能會(huì)創(chuàng)建隱藏賬戶：

cat /etc/passwd 

• 檢查是否有未知用戶。

二、清除Linux系統(tǒng)中的惡意軟件

1. 隔離受感染文件或進(jìn)程

(1) 殺死惡意進(jìn)程

根據(jù)PID殺死可疑進(jìn)程：

kill -9 <PID> 

(2) 隔離惡意文件

將可疑文件移動(dòng)到隔離目錄：

sudo mv /path/to/malicious_file /tmp/quarantine/ 

2. 刪除惡意軟件

(1) 使用ClamAV刪除感染文件

sudo clamscan --remove=yes -r / 

(2) 手動(dòng)刪除文件

使用 rm 刪除可疑文件：

sudo rm -rf /path/to/malicious_file 

3. 修復(fù)系統(tǒng)配置

(1) 清除惡意啟動(dòng)項(xiàng)

刪除可疑的 cron 任務(wù)：

crontab -e 

禁用惡意的 Systemd 服務(wù)：

sudo systemctl disable <service_name> 

(2) 恢復(fù)被篡改的文件

如果關(guān)鍵系統(tǒng)文件被篡改，可以從安全備份中恢復(fù)，或重新安裝相關(guān)軟件包：

# 重新安裝被感染的軟件包
sudo apt install --reinstall <package_name>

三、預(yù)防Linux系統(tǒng)惡意軟件感染

1. 定期更新系統(tǒng)和軟件

確保系統(tǒng)和所有軟件是最新版本：

# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
 
# CentOS/RHEL
sudo yum update -y

2. 配置防火墻

限制不必要的端口和服務(wù)：

UFW（Ubuntu/Debian）：

sudo ufw enable
sudo ufw allow ssh
sudo ufw allow http
sudo ufw allow https

Firewalld（CentOS/RHEL）：

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload

3. 最小化服務(wù)暴露

• 禁用不必要的服務(wù)和端口。
• 在 /etc/ssh/sshd_config 中增強(qiáng)SSH安全性：

PermitRootLogin no
PasswordAuthentication no
AllowUsers <your_user>

4. 使用強(qiáng)密碼和密鑰認(rèn)證

生成SSH密鑰并禁用密碼登錄：

ssh-keygen -t rsa -b 4096 

5. 安裝入侵檢測(cè)系統(tǒng)

(1) AIDE（高級(jí)入侵檢測(cè)環(huán)境）

AIDE 用于檢測(cè)文件系統(tǒng)的篡改。

# 安裝 AIDE
sudo apt install aide -y
sudo aideinit

(2) OSSEC

OSSEC 是一款強(qiáng)大的入侵檢測(cè)系統(tǒng)，支持實(shí)時(shí)監(jiān)控。

6. 定期監(jiān)控系統(tǒng)

• 定期掃描系統(tǒng)文件和日志。
• 使用 fail2ban 限制暴力 破解：

sudo apt install fail2ban -y 

配置 /etc/fail2ban/jail.local：

[sshd]
enabled = true
bantime = 3600
findtime = 600
maxretry = 5

7. 備份重要數(shù)據(jù)

• 定期備份數(shù)據(jù)到安全的存儲(chǔ)位置（例如異地存儲(chǔ)或云存儲(chǔ)）。
• 使用工具如 rsync 或 tar：

rsync -avz /important/data /backup/location 

四、總結(jié)

檢測(cè)惡意軟件：

• 通過(guò)工具（如 ClamAV、Rkhunter、Chkrootkit）掃描系統(tǒng)。
• 手動(dòng)檢查異常行為和啟動(dòng)項(xiàng)。

清除惡意軟件：

• 殺死惡意進(jìn)程并刪除惡意文件。
• 修復(fù)系統(tǒng)配置，恢復(fù)被篡改文件。

預(yù)防感染：

• 定期更新系統(tǒng)和軟件。
• 配置防火墻、啟用強(qiáng)密碼和SSH密鑰認(rèn)證。
• 定期備份數(shù)據(jù)并監(jiān)控系統(tǒng)安全。

通過(guò)以上步驟，您可以有效檢測(cè)、清除和預(yù)防Linux系統(tǒng)中的惡意軟件感染，提高系統(tǒng)的安全性和穩(wěn)定性。

以上就是檢測(cè)、清除并預(yù)防Linux系統(tǒng)中的惡意軟件的完整指南的詳細(xì)內(nèi)容，更多關(guān)于Linux惡意軟件檢測(cè)、清除和預(yù)防的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！