Ubuntu系统中,认证日志、系统日志、内核日志和定时任务日志是识别恶意软件的核心来源,它们分别记录了用户认证、系统事件、内核操作及定时任务执行情况,能覆盖恶意软件的主要活动轨迹:
/etc/crontab、用户级Cron)实现持久化,需检查是否有未知定时任务。恶意软件通常会尝试暴力破解SSH密码或使用被盗凭证登录,通过auth.log可快速定位此类行为:
grep "Failed password" /var/log/auth.log,若同一IP在短时间内有多次失败记录(如超过5次/分钟),可能是恶意扫描。grep "Accepted password" /var/log/auth.log,确认是否有非本人或非信任网络的IP成功登录(如公司服务器突然出现家用IP登录)。grep "sudo" /var/log/auth.log,检查是否有未授权用户使用sudo执行高危命令(如rm -rf /、chmod 777 /)。恶意软件运行时会导致进程异常、内核模块异常加载或系统资源占用过高,通过以下命令可识别:
grep -i "error\|warning\|failed" /var/log/syslog,重点关注与进程、文件、网络相关的错误(如“process not found”“file not accessible”“kernel: Unknown module”)。dmesg | grep -i "module",若发现未知内核模块(如名称含随机字符、无数字签名的模块)加载,可能是Rootkit或后门程序。恶意软件常通过Cron任务实现持久化(如每小时执行挖矿脚本),需检查系统级和用户级Cron任务:
cat /etc/crontab和ls /etc/cron.* -R,检查是否有未知脚本或命令(如指向/tmp/、/dev/shm/等临时目录的脚本)。crontab -l(当前用户)和ls /var/spool/cron/crontabs/(所有用户),确认是否有未授权的定时任务(如*/5 * * * * /usr/bin/python3 /tmp/malware.py)。使用journalctl(集成在systemd中的日志工具)可实时查看进程活动、网络连接及服务状态,快速定位恶意行为:
top或htop发现可疑进程(如高CPU占用的unknown进程),使用journalctl _PID=<进程ID>查看其启动命令、用户及时间。journalctl -u sshd查看SSH服务日志,或journalctl | grep -i "network"查看网络连接记录,识别异常端口通信(如监听高位端口12345、连接到陌生IP的ESTABLISHED连接)。auth.log中的失败登录记录,自动封禁频繁尝试的IP(如5分钟内失败3次),减少暴力破解风险。chkrootkit -x、rkhunter --check),识别隐藏的恶意进程或文件。clamscan -r /),检测已知的病毒、木马。通过以上方法,可系统性地从Ubuntu日志中识别恶意软件的活动痕迹。需定期执行这些检查(如每周一次),并结合实时监控工具(如journalctl -f)及时响应异常情况。
