记一次Linux木马清除过程(2)

c.查找sudo权限账户

cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)" 

2.2 查看是否有账号异常登录情况：

a.查看当前登录用户和其行为

w 

b.查看所有用户最后一次登录的时间

lastlog 

c.查看所有用户的登录注销信息及系统的启动、重启及关机事件 

last 

d.查看登录成功的日期、用户名及ip

grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}' 

e.查看试图爆破主机的ip

grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more  
grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c  

f.查看有哪些ip在爆破主机的root账号   

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort 

g.查看爆破用户名字典     

grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr 

3、查找异常文件        

3.1 查找cron文件中是否存在恶意脚本      

/var/spool/cron/*  
/etc/crontab   
/etc/cron.d/*   
/etc/cron.daily/*   
/etc/cron.hourly/*   
/etc/cron.monthly/*   
/etc/cron.weekly/   
/etc/anacrontab       
/var/spool/anacron/* 

3.2 查看最近一段时间内被修改的系统文件     

find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/  -type f -mtime -T | xargs ls -la 

3.3 按时间排序，确认最近是否有命令被替换，可以结合rpm -Va命令

ls -alt /usr/bin /usr/sbin /bin /usr/local/bin  
rpm -Va>rpm.log 

3.4 确认是否有异常开机启动项       

cat /etc/rc.local  
chkconfig --list 

4.借助工具查杀病毒和rootkit

4.1 查杀rootkit    

chkrootkit (下载地址-http://www.chkrootkit.org)  
rkhunter (下载地址-http://rkhunter.sourceforge.net) 

4.2 查杀病毒 

clamav(下载地址-http://www.clamav.net/download.html)   

4.3 查杀webshell

cloudwalker(下载地址-http://github.com/chaitin/cloudwalker) 

工具用法不再赘述，大家自行查阅。

（编辑：ASP站长网）