如何彻底清理centos系统中的病毒
导读:CentOS 系统彻底清理病毒的实操手册 一、处置原则与准备 立即将服务器从外网断网/隔离,防止横向扩散与数据外泄。 不要急于kill 进程或重启,避免破坏现场、导致更难定位持久化点。 在排查期间,先执行:HISTFILE=/dev/nu...
CentOS 系统彻底清理病毒的实操手册
一、处置原则与准备
- 立即将服务器从外网断网/隔离,防止横向扩散与数据外泄。
- 不要急于kill 进程或重启,避免破坏现场、导致更难定位持久化点。
- 在排查期间,先执行:
HISTFILE=/dev/null,避免本次命令写入历史,干扰取证。 - 优先备份重要数据与业务配置,再开始清理。
- 准备离线安装包与可信镜像源,防止清理过程中被再次投毒。
二、定位与止血 持久化入口排查
- 计划任务(所有用户与系统级):
- 查看:
ls -l /var/spool/cron/*、cat /etc/crontab、ls -l /etc/cron.d/、ls -l /etc/cron.* - 处理:删除异常条目,必要时先对目录加锁:
chattr +i /etc/crontab /etc/cron.hourly,清理后再解锁。
- 查看:
- systemd 自启动:
- 查看:
ls -l /etc/systemd/system/、/etc/systemd/system/multi-user.target.wants/、/etc/rc.d/init.d/(遗留 SysV) - 处理:
systemctl stop < svc>、systemctl disable < svc>,删除对应 unit 文件。
- 查看:
- 开机执行与系统脚本:
- 检查:
/etc/rc.d/rc.local是否被植入命令。
- 检查:
- 文件属性篡改:
- 若恶意文件被设为不可改删:
chattr -iRa /usr/ /etc/(清理后再恢复必要权限)。
- 若恶意文件被设为不可改删:
- 命令被劫持(如 ps、netstat 异常):
- 检查并清理:
/etc/ld.so.preload中的异常 so 注入,恢复系统命令二进制。
- 检查并清理:
- 异常用户与后门账户:
- 排查:
cat /etc/passwd、cat /etc/shadow,删除可疑账户(必要时用vipw/vipw -s同步修改)。
- 排查:
- 典型自我保护木马线索:
- 某些样本会在
/lib/libudev.so、/lib/libudev.so.6驻留,并在/etc/cron.hourly/下放脚本(如 gcc.sh);此类样本常通过“变形+守护”复活,需按序处置。
- 某些样本会在
三、终止进程与清理文件 按序操作
- 识别“真身”进程:
- 用
top/htop按 CPU 排序,或用sysdig -c topprocs_cpu发现隐藏进程;必要时用unhide proc检查隐藏进程。
- 用
- 溯源并关停启动链:
systemctl status < PID>查看 CGroup 中的.service启动源,先stop再disable。
- 破坏复活机制再删除:
- 对自我保护样本,先“灭活”再删:例如将
/lib/libudev.so、/lib/libudev.so.6清空为/dev/null,随后删除相关脚本与软链。
- 对自我保护样本,先“灭活”再删:例如将
- 清理持久化与残留:
- 删除异常计划任务脚本、
/etc/init.d/下可疑脚本及其在rc[0-6].d的符号链接。
- 删除异常计划任务脚本、
- 解锁关键目录并收尾:
chattr -i /etc /usr/bin /bin /etc/crontab /etc/cron.hourly,再删除残余文件。
- 谨慎使用自动删除:
- 使用 ClamAV 的
--remove前务必人工核验,避免误删业务文件。
- 使用 ClamAV 的
四、病毒扫描与 Rootkit 检测
- 安装并更新 ClamAV(开源、多平台,适合作为主机侧查杀工具):
yum install -y epel-release & & yum install -y clamav clamav-update- 更新病毒库:
freshclam
- 扫描与清理:
- 全盘扫描:
clamscan -r / -l /var/log/clamav/fullscan.log - 自动删除:
clamscan -r --remove /path(建议先扫描报告确认) - 使用守护进程提升效率:
systemctl start clamav-daemon,随后clamdscan -r /path或clamdscan --multiscan --fdpass /path
- 全盘扫描:
- Rootkit 检测(与杀毒互补):
rkhunter --check、chkrootkit,关注异常 SUID、隐藏进程、可疑内核模块等告警。
五、加固与复发预防
- 凭据与访问控制:
- 立即重置 root 与关键账户密码,启用高强度口令与密钥登录,禁用密码登录;排查
~/.ssh/authorized_keys异常公钥。
- 立即重置 root 与关键账户密码,启用高强度口令与密钥登录,禁用密码登录;排查
- 系统与软件更新:
- 执行
yum update -y与安全补丁更新,修复已知漏洞。
- 执行
- 最小权限与网络:
- 关闭不必要的端口与服务,限制外网访问面;仅放行业务必需端口。
- 完整性校验与监控:
- 部署 AIDE/Tripwire 做文件完整性基线;结合
sysdig/auditd 做关键目录与进程行为监控。
- 部署 AIDE/Tripwire 做文件完整性基线;结合
- 日志与审计:
- 集中采集与分析
/var/log/secure、/var/log/messages、/var/log/cron,保留至少 90 天。
- 集中采集与分析
- 备份与演练:
- 建立离线与异地备份,定期演练恢复流程;对公网暴露服务实施最小权限与零信任策略。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: 如何彻底清理centos系统中的病毒
本文地址: https://pptw.com/jishu/756722.html