如何排查Linux服务器上的恶意发包行为

以下几种方法检测linux服务器是否被攻击：1、检查系统密码文件首先从明显的入手，查看一下passwd文件，ls–l/etc/passwd查看文件修改的日期。2、查看一下进程，看看有没有奇怪的进程重点查看进程：ps–aef|grepinetdinetd是UNIX系统的守护进程，正常的inetd的pid都比较靠前，如果看到输出了一个类似inetd–s/tmp/.xxx之类的进程，着重看inetd–s后面的内容。在正常情况下，LINUX系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd–s，同样没有用inetd去启动某个特定的文件；如果使用ps命令看到inetd启动了某个文件，而自己又没有用inetd启动这个文件，那就说明已经有人入侵了系统，并且以root权限起了一个简单的后门。3、检查系统守护进程检查/etc/inetd.conf文件，输入：cat/etc/inetd.conf|grep–v“^#”，输出的信息就是这台机器所开启的远程服务。一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。4、检查网络连接和监听端口输入netstat-an，列出本机所有的连接和监听的端口，查看有没有非法连接。输入netstat–rn，查看本机的路由、网关设置是否正确。输入ifconfig–a，查看网卡设置。5、检查系统日志命令last|more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。在linux下输入ls–al/var/log检查wtmputmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。6、检查系统中的core文件通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的RPC攻击就是通过这种方式。这种方式有一定的成功率，也就是说并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find/-namecore–execls–l{}\依据core所在的目录、查询core文件来判断是否有入侵行为。7、检查系统文件完整性检查文件的完整性有多种方法，通常通过输入ls–l文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm–V`rpm–qf文件名`来查询，查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以manrpm来获得的格式。

方法/步骤

首先我们要先确定是哪台机器的网卡在向外发包，还好我们这边有zabbix监控，我就一台一台的检查，发现有一台的流量跑满了，问题应该出现在这台机器上面

我登录到机器里面，查看了一下网卡的流量，我的天啊，居然跑了这个多流量。

这台机器主要是运行了一个tomcat WEB服务和oracle数据库，问题不应该出现在WEB服务和数据库上面，我检查了一下WEB日志，没有发现什么异常，查看数据库也都正常，也没有什么错误日志，查看系统日志，也没有看到什么异常，我赶紧查看了一下目前运行的进程情况，看看有没有什么异常的进程，一查看，果然发现几个异常进程，不仔细看还真看不出来，这些进程都是不正常的。

这是个什么进程呢，我每次ps -ef都不一样，一直在变动，进程号一一直在变动中，我想看看进程打开了什么文件都行，一时无从下手，想到这里，我突然意识到这应该都是一些子进程，由一个主进程进行管理，所以看这些子进程是没有用的，即便我杀掉他们还会有新的生成，擒贼先擒王，我们去找一下主进程，我用top d1实时查看进程使用资源的情况，看看是不是有异常的进程占用cpu内存等资源，发现了一个奇怪的进程，平时没有见过。这个应该是我们寻找的木马主进程。

我尝试杀掉这个进程，killall -9 ueksinzina，可是杀掉之后ps -ef查看还是有那些子进程，难道没有杀掉？再次top d1查看，发现有出现了一个其他的主进程，看来杀是杀不掉的，要是那么容易杀掉就不是木马了。

可以看到里面有个定时任务gcc4.sh，这个不是我们设定的，查看一下内容更加奇怪了，这个应该是监听程序死掉后来启动的，我们这边把有关的配置全部删掉，并且删掉/lib/libudev4.so。

在/etc/init.d/目录下面也发现了这个文件。

里面的内容是开机启动的信息，这个我们也给删掉

到此为止，没有新的木马进程生成，原理上说是结束掉了木马程序，后面的工作就是要清楚这些目录产生的文件，经过我寻找，首先清除/etc/init.d目录下面产生的木马启动脚本，然后清楚/etc/rc#.d/目录下面的连接文件。

后来我查看/etc目录下面文件的修改时间，发现ssh目录下面也有一个新生成的文件，不知道是不是有问题的。清理差不多之后我们就要清理刚才生成的几个文件了，一个一个目录清楚，比如"chattr -i /tmp"，然后删除木马文件，以此类推删除/bin、/usr/bin目录下面的木马，到此木马清理完毕。

可以。Linux下的蠕虫病毒与windows下的蠕虫病毒类似，可以独立运行，并将自身传播到另外的windows上去，在Linux平台下的蠕虫病毒通常利用一些Linux系统和服务的漏洞来进行传播。

---