① 如何防止linux系統中木馬
Linux上基本沒有木馬,大膽上網,反正你能遇上的都是Windows的病毒。
不過你裝了wine就另當別論了,不過Windows的病毒和木馬在Linux上無法自動運行。
樓上說裝殺軟的明顯不知道Linux是什麼。
② Linux這種木馬是不是有辦法可以預防呢
現在我給大家講一下在linux下如何預防php木馬。1.首先修改httpd.conf,如果你只允許你的php腳本程序在web目錄里操作,可以修改httpd.conf文件限制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs,那麼在httpd.conf里加上這么幾行:
php_admin_valueopen_basedir /usr/local/apache/htdocs
這樣,如果腳本要讀取/usr/local/apache/htdocs以外的文件將不會被允許,如果錯誤顯示打開的話會提示這樣的錯誤:
Warning:open_basedirrestrictionineffect.Fileisinwrongdirectoryin/usr/local/apache/htdocs/open.phponline4等等。
2、防止php木馬執行webshell
打開safe_mode,在php.ini中設置disable_functions=passthru,exec,shell_exec,system二者選一即可,也可都選
3、防止php木馬讀寫文件目錄
在php.ini中的disable_functions=passthru,exec,shell_exec,system後面加上php處理文件的函數主要有fopen,mkdir,rmdir,chmod,unlink,dir
fopen,fread,fclose,fwrite,file_exists
③ windows下的木馬病毒能在LINUX下運行嗎
聽說有幾個實驗性質的 windows 病毒。可以藉助 linux 下的 wine 這個模擬運行 Windows 程序的環境在 linux 中發作。但大部分不行。
------
update:wine 的問題在於,Linux 默認是不起動 wine 的,也就是病毒在開始進入 Linux 時,不能自動運行,需要以某種方式讓 wine 來運行他,有點類似於某些捆綁了木馬的程序。
但因為 wine 有自己虛擬的文件系統,相對想繞過 wine 的文件系統限制,也有很大的制約(不過默認的 Wnie 設置可以訪問根目錄,安全的設置,只能訪問部分個人目錄(虛擬的 Windows C 盤,以及硬碟上其他一般數據分區),同時 wine 還受制於 Linux 的許可權系統,使得 Wine 病毒只能在當前用戶下面發作。Wine 的模擬效果也是問題,很多病毒需要的功能無法提供,比如隱藏自己的 windows rootkit 技術。不過不隱藏自身,只復制自己到目錄中,等待別人運行的底端文件型病毒,有一定的發展可能。
所以目前沒有什麼實際有效的雙系統病毒,現在一個流行的趨勢是在兩個系統下面都能直接運行的程序,但是實現比較困難。
像冰河這種程序不能運行,因為他缺少 windows 特有的一些功能介面。比如自動運行,後台隱藏服務進程,驅動級別的監控。wine 都不能實現。
但是一些簡單的 u 盤病毒或許反而可以運行,他運行後就四處尋找可以寫入的文件夾把自己寫入,並且建立 autorun.inf 還是可行的。
需要解決更多linux問題,詳情請看 http://www.linuxprobe.com/chapter-00.html
望採納
④ 用linux系統打開XP系統很強悍的木馬網站會中毒嗎
不會的。。
不同系統。運行的方式也不一樣。。
目前的病毒大部分都是針對windows的,而由於Linux用的人不多,所以那些製造病毒的人也就懶得去研究他了
linux的許可權控制非常嚴密,更何況linux是一個完全自由的系統,版本多的讓你眼花繚亂,想做出可以普及的病毒,沒有厚實的家底幾乎不可能,而有這樣能力的組織卻沒那麼傻去開發linux的病毒!
⑤ linux伺服器中木馬怎麼處理
以下從幾個方面在說明Linux系統環境安排配置防範和木馬後門查殺的方法:
一、Web Server(以Nginx為例)
1、為防止跨站感染,將虛擬主機目錄隔離(可以直接利用fpm建立多個程序池達到隔離效果)
2、上傳目錄、include類的庫文件目錄要禁止代碼執行(Nginx正則過濾)
3、path_info漏洞修正:
在nginx配置文件中增加:
if ($request_filename ~* (.*)\.php) {
set $php_url $1;
}
if (!-e $php_url.php) {
return 404;
}
4、重新編譯Web Server,隱藏Server信息
5、打開相關級別的日誌,追蹤可疑請求,請求者IP等相關信息。
二.改變目錄和文件屬性,禁止寫入
find -type f -name \*.php -exec chmod 444 {} \;
find -type d -exec chmod 555 {} \;
註:當然要排除上傳目錄、緩存目錄等;
同時最好禁止chmod函數,攻擊者可通過chmod來修改文件只讀屬性再修改文件!
三.PHP配置
修改php.ini配置文件,禁用危險函數:
disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg
四.MySQL資料庫賬號安全:
禁止mysql用戶外部鏈接,程序不要使用root賬號,最好單獨建立一個有限許可權的賬號專門用於Web程序。
五.查殺木馬、後門
grep -r –include=*.php 『[^a-z]eval($_POST』 . > grep.txt
grep -r –include=*.php 『file_put_contents(.*$_POST\[.*\]);』 . > grep.txt
把搜索結果寫入文件,下載下來慢慢分析,其他特徵木馬、後門類似。有必要的話可對全站所有文件來一次特徵查找,上傳圖片肯定有也捆綁的,來次大清洗。
查找近2天被修改過的文件:
find -mtime -2 -type f -name \*.php
注意:攻擊者可能會通過touch函數來修改文件時間屬性來避過這種查找,所以touch必須禁止
六.及時給Linux系統和Web程序打補丁,堵上漏洞
⑥ linux chattr被木馬了 怎麼辦
方法/步驟
首先我們要先確定是哪台機器的網卡在向外發包,還好我們這邊有zabbix監控,我就一台一台的檢查,發現有一台的流量跑滿了,問題應該出現在這台機器上面
我登錄到機器裡面,查看了一下網卡的流量,我的天啊,居然跑了這個多流量。
這台機器主要是運行了一個tomcat WEB服務和oracle資料庫,問題不應該出現在WEB服務和資料庫上面,我檢查了一下WEB日誌,沒有發現什麼異常,查看資料庫也都正常,也沒有什麼錯誤日誌,查看系統日誌,也沒有看到什麼異常,我趕緊查看了一下目前運行的進程情況,看看有沒有什麼異常的進程,一查看,果然發現幾個異常進程,不仔細看還真看不出來,這些進程都是不正常的。
這是個什麼進程呢,我每次ps -ef都不一樣,一直在變動,進程號一一直在變動中,我想看看進程打開了什麼文件都行,一時無從下手,想到這里,我突然意識到這應該都是一些子進程,由一個主進程進行管理,所以看這些子進程是沒有用的,即便我殺掉他們還會有新的生成,擒賊先擒王,我們去找一下主進程,我用top d1實時查看進程使用資源的情況,看看是不是有異常的進程佔用cpu內存等資源,發現了一個奇怪的進程,平時沒有見過。這個應該是我們尋找的木馬主進程。
我嘗試殺掉這個進程,killall -9 ueksinzina,可是殺掉之後ps -ef查看還是有那些子進程,難道沒有殺掉?再次top d1查看,發現有出現了一個其他的主進程,看來殺是殺不掉的,要是那麼容易殺掉就不是木馬了。
可以看到裡面有個定時任務gcc4.sh,這個不是我們設定的,查看一下內容更加奇怪了,這個應該是監聽程序死掉後來啟動的,我們這邊把有關的配置全部刪掉,並且刪掉/lib/libudev4.so。
在/etc/init.d/目錄下面也發現了這個文件。
裡面的內容是開機啟動的信息,這個我們也給刪掉
到此為止,沒有新的木馬進程生成,原理上說是結束掉了木馬程序,後面的工作就是要清楚這些目錄產生的文件,經過我尋找,首先清除/etc/init.d目錄下面產生的木馬啟動腳本,然後清楚/etc/rc#.d/目錄下面的連接文件。
10
後來我查看/etc目錄下面文件的修改時間,發現ssh目錄下面也有一個新生成的文件,不知道是不是有問題的。清理差不多之後我們就要清理剛才生成的幾個文件了,一個一個目錄清楚,比如"chattr -i /tmp",然後刪除木馬文件,以此類推刪除/bin、/usr/bin目錄下面的木馬,到此木馬清理完畢。
⑦ Linux木馬大家怎麼看
確實,絕大部分木馬都是在windows 的環境下編寫的, 因此,這些木馬無法在linux操作系統運行,linux系統因此而安全很多。 但是linux系統下也有木馬。當然,你遇上的機會是微乎其微,可以忽略了。
⑧ linux徹底刪除木馬 手機木馬能徹底刪除嗎
木馬病毒的通用解法 由於很多新手對安全問題了解不多,所以並不知道自己的計算機中了「木馬」該怎麼樣清除。雖然現在市面上有很多新版殺毒軟體都可以自動清除「木馬」,但它們並不能防範新出現的「木馬」程序,因此最關鍵的還是要知道「木馬」的工作原理,這樣就會很容易發現「木馬」。相信你看了這篇文章之後,就會成為一名查殺「木馬」的高手了。 「木馬」程序會想盡一切辦法隱藏自己,主要途徑有:在任務欄中隱藏自己,這是最基本的只要把Form的Visible屬性設為False、ShowInTaskBar設為False,程序運行時就不會出現在任務欄中了。在任務管理器中隱形:將程序設為「系統服務」可以很輕松地偽裝自己。 當然它也會悄無聲息地啟動,你當然不會指望用戶每次啟動後點擊「木馬」圖標來運行服務端,,「木馬」會在每次用戶啟動時自動裝載服務端,Windows系統啟動時自動載入應用程序的方法,「木馬」都會用上,如:啟動組、win.ini、system.ini、注冊表等等都是「木馬」藏身的好地方。下面具體談談「木馬」是怎樣自動載入的。 在win.ini文件中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程序的途徑,必須仔細留心它們。一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上「木馬」了。當然你也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe文件,如果不注意可能不會發現它不是真正的系統啟動文件。 在system.ini文件中,在[BOOT]下面有個「shell=文件名」。正確的文件名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程序名」,那麼後面跟著的那個程序就是「木馬」程序,就是說你已經中「木馬」了。 在注冊表中的情況最復雜,通過regedit命令打開注冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件,擴展名為EXE,這里切記:有的「木馬」程序生成的文件很像系統自身文件,想通過偽裝矇混過關,如「Acid Battery v1.0木馬」,它將注冊表「HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」下的 Explorer 鍵值改為Explorer=「C:\WINDOWS\expiorer.exe」,「木馬」程序與真正的Explorer之間只有「i」與「l」的差別。當然在注冊表中還有很多地方都可以隱藏「木馬」程序,如:「HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run」、「HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run」的目錄下都有可能,最好的辦法就是在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的文件名,再在整個注冊表中搜索即可。 知道了「木馬」的工作原理,查殺「木馬」就變得很容易,如果發現有「木馬」存在,最安全也是最有效的方法就是馬上將計算機與網路斷開,防止黑客通過網路對你進行攻擊。然後編輯win.ini文件,將[WINDOWS]下面,「run=「木馬」程序」或「load=「木馬」程序」更改為「run=」和「load=」;編輯system.ini文件,將[BOOT]下面的「shell=『木馬』文件」,更改為:「shell=explorer.exe」;在注冊表中,用regedit對注冊表進行編輯,先在「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下找到「木馬」程序的文件名,再在整個注冊表中搜索並替換掉「木馬」程序,有時候還需注意的是:有的「木馬」程序並不是直接將「HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」下的「木馬」鍵值刪除就行了,因為有的「木馬」如:BladeRunner「木馬」,如果你刪除它,「木馬」會立即自動加上,你需要的是記下「木馬」的名字與目錄,然後退回到MS-DOS下,找到此「木馬」文件並刪除掉。重新啟動計算機,然後再到注冊表中將所有「木馬」文件的鍵值刪除。至此,我們就大功告成了.