1、Linux被入侵的症状​​

​​https://blog.csdn.net/weixin_52351575/article/details/131221720​​

2、Linux应急措施

顺序是：隔离主机--->阻断通信--->清除病毒--->可疑用户--->启动项和服务--->文件与后门--->杀毒、重装系统、恢复数据

2.1、隔离主机

拔网线（不让拔就往后正常排查）

2.2、阻断通信

• iptables -A INPUT -s 可疑地址 -j DROP
• iptables -A OUTPUT -d可疑地址 -j DROP

2.3、清除病毒

• kill -9 [pid]：杀进程
• 守护进程(所谓的父进程子进程等)：需要杀彻底

lsof -p [pid]

kill -9 -[pid]

查看进程pid可参考：​​https://blog.csdn.net/weixin_52351575/article/details/131221720​​

2.4、可疑用户

• userdel

从这入手：/etc/passwd（/etc/shadow）

2.5、启动项和服务

chkconfig --del TEST

systemctl disable 服务名

2.6、文件与后门

• 系统命令篡改

• 先检查该命令：whereis 【命令】
• 发现被篡改后找见同版本服务器copy过来原命令就可以了；或者安装并运行工具：busybox；可以使用原命令

• 定时任务

• crontab -l
• cat /etc/anacrontab

• SSH key

cd /root/.ssh

• SUDO

sudo -l   visudo(删除不合理的权限）

• SUID

把不是本身有s权限的程序将他的s权限下掉

• find / -perm -u=s -type f 2>/dev/null
• find / -user root -perm -4000 -print 2>/dev/null
• find / -user root -perm -4000 -exec ls -ldb {} \;

2.7、杀毒、重装系统、恢复数据

严重的情况下重装系统吧