一、 病毒排查

1、 检查系统登录日志

  查看用户登录记录

last

  查看用户登录失败记录

lastb

2、检查系统用户

  查看是否有异常用户

cat /etc/passwd

  查看是否有特权用户

awk -F: '$3==0{print $1}' /etc/passwd

  查看可以远程登录的账号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

  查看出root账号外，其他账户是否存在sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

3、 检查异常进程

  注意UID为0的进程

ps aux

  查看该进程打开的端口和文件

lsof -p pid号

4、检查异常文件

  查看UID为0且SUID权限的文件

find / -uid 0 -perm -4000 -print

  查看大于1000k的文件

find / -size +10000k -print

  查看敏感目录，如/tmp目录下的文件，同时注意以“..”为名的隐藏文件夹

find /tmp -name "..*" -print

5、 检查网络

  检查网络正常不应该是promisc模式

ip link | grep PROMISC

  查看网络连接是否有可以端口、IP、PID

netstat -antlp|more

6、 检查系统定时任务

crontab -l

7、 检查系统开机启动项

CentOS 7及以上版本：systemctl list-unit-files --type=service
    CentOS 6及以下版本：chkconfig –list
    其他版本：cat /etc/rc.local

8、 检查系统服务

CenOS 7及以上版本：systemctl list-units --type=service --all
    CentOS 6及以下版本：chkconfig –list
    其他版本：service –status-all

9、 检查系统日志

日志默认存放位置：/var/log/

查看历史记录

history

检测恶意IP、域名网站（在网络检查中，对疑似恶意外连进行查询，从而确定异常进程）：

微步在线：https://x.threatbook.com/

腾讯威胁情报中心：https://tix.qq.com/

奇安信威胁情报中心：https://ti.qianxin.com

绿盟威胁情报中心：https://ti.nsfocus.com

二、 病毒清理

1、 Rootkid查杀

• Chkrootkit

网址：http://www.chkrootkit.org

使用方法：

wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
    tar zxvf chkrootkit.tar.gz
    cd chkrootkit-0.52
    make sense

编译完成没有报错的话执行检查

./chkrootkit

• Rkhunter

网址：http://rkhunter.sourceforge.net

使用方法：

wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
    tar -zxvf rkhunter-1.4.4.tar.gz
    cd rkhunter-1.4.4
    ./installer.sh –install
    rkhunter -c

2、 病毒查杀

Clamav官方下载地址为：http://www.clamav.net/download.html

安装Clamav

apt-get update
    apt-get upgrade
    apt-get install clamav clamtk -y

扫描方法

启动图形化界面

clamtk

选择扫描文件或文件夹，扫描完成后，ClamTK将显示扫描结果，可以将其删除。

以上操作如不能完全清理病毒，建议重装系统。

详细的病毒入侵排查和加固参考文档： 入侵排查和加固_Linux.docx