文章大纲：

• 1、linux 怎么看那个文件被种木马
• 2、如何防止Linux系统中木马
• 3、如何查杀Linux系统下的木马
• 4、Linux系统如何清除木马
• 5、linux服务器中木马怎么处理
• 6、.如果一台linux服务器中了botnet病毒,该如何排查

linux 怎么看那个文件被种木马

1，这个只能靠杀毒软件检测，不然就会误删

2，可以使用电脑管家

3，打开选择全盘杀毒，可以找出电脑里面所有隐藏的病毒，然后一键删除。

如何防止Linux系统中木马

Linux下的木马通常是恶意者通过Web的上传目录的方式来上传木马到Linux服务器，为做防护，我们可根据从恶意者访问网站开始--Linux系统--HTTP服务--中间件服务--程序代码--DB--存储，逐一设卡防护。

1.开发程序代码对上传文件类型做限制，例如不能上传.php程序。

2.对上传的内容进行检测，检测方式可通过程序、Web服务层、数据库等层面控制。

3.控制上传目录的权限以及非站点目录的权限。

4.传上木马文件后的访问和执行控制。

5.对重要配置文件、命令和WEB配置等文件做md5指纹及备份。

6.安装杀毒软件，定期监测查杀木马。

7.配置服务器防火墙及入侵检测服务。

8.监控服务器文件变更、进程变化、端口变化、重要安全日志并及时报警。

如何查杀Linux系统下的木马

试试腾讯电脑管家查杀，严格控制病毒的检测，采用的是误报率极低的云查杀技术，确保扫描出来的结果一定是最准确的。而且为了确保万无一失，电脑管家默认采取可恢复的隔离方式清除病毒，如果万一您发现已清除的病毒是正常的文件，您还可以通过隔离区进行恢复。

您可以点击杀毒标签页下角的“隔离区”，在列表中选中想要恢复的文件，再点击“恢复”按钮，即可轻松恢复误删除的文件。

Linux系统如何清除木马

可以直接腾讯电脑管家查杀

操作起来也很简便的，查杀木马病毒也很快速哦！我们安装登录后在主页面最下面找到第二个病毒查杀功能键，点击进入就可以享受到它强大的查杀效果啦。右上角还有轻巧模式和传统模式相互切换的键呢，我们可以选择自己喜欢的操作界面哦！

linux服务器中木马怎么处理

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的 *** ：

一、Web Server（以Nginx为例）

1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）

2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~* (.*)\.php) {

set $php_url $1;

　 　}

if (!-e $php_url.php) {

return 404;

　}

4、重新编译Web Server，隐藏Server信息

5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。

二.改变目录和文件属性，禁止写入

find -type f -name \*.php -exec chmod 444 {} \;

find -type d -exec chmod 555 {} \;

注：当然要排除上传目录、缓存目录等；

同时更好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！

三.PHP配置

修改php.ini配置文件，禁用危险函数：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg

四.MySQL数据库账号安全：

禁止mysql用户外部链接，程序不要使用root账号，更好单独建立一个有限权限的账号专门用于Web程序。

五.查杀木马、后门

grep -r –include=*.php ‘[^a-z]eval($_POST’ . grep.txt

grep -r –include=*.php ‘file_put_contents(.*$_POST\[.*\]);’ . grep.txt

把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传图片肯定有也捆绑的，来次大清洗。

查找近2天被修改过的文件：

find -mtime -2 -type f -name \*.php

注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

六.及时给Linux系统和Web程序打补丁，堵上漏洞

.如果一台linux服务器中了botnet病毒,该如何排查

1、病毒木马排查。

1.1、使用netstat查看 *** 连接，分析是否有可疑发送行为，如有则停止。

在服务器上发现一个大写的CRONTAB命令，然后进行命令清理及计划任务排查。

(linux常见木马，清理命令chattr -i /usr/bin/.sshd; rm -f /usr/bin/.sshd; chattr -i /usr/bin/.swhd; rm -f /usr/bin/.swhd; rm -f -r /usr/bin/bsd-port; cp /usr/bin/dpkgd/ps /bin/ps; cp /usr/bin/dpkgd/netstat /bin/netstat; cp /usr/bin/dpkgd/lsof /usr/ *** in/lsof; cp /usr/bin/dpkgd/ss /usr/ *** in/ss;rm -r -f /root/.ssh; rm -r -f /usr/bin/bsd-port;find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9;）

1.2、使用杀毒软件进行病毒查杀。

2、服务器漏洞排查并修复

2.1、查看服务器账号是否有异常，如有则停止删除掉。

2.2、查看服务器是否有异地登录情况，如有则修改密码为强密码（字每+数字+特殊符号）大小写，10位及以上。

2.3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

2.4、查看WEB应用是否有漏洞，如struts, ElasticSearch等，如有则请升级。

2.5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方，提高密码强度（字每+数字+特殊符号）大小写，10位及以上。

2.6、查看Redis无密码可远程写入文件漏洞，检查/root/.ssh/下黑客创建的SSH登录密钥文件，删除掉，修改Redis为有密码访问并使用强密码，不需要公网访问更好bind 127.0.0.1本地访问。

2.7、如果有安装第三方软件，请按官网指引进行修复。