如何清理centos恶意软件

CentOS 恶意软件清理与加固实操指南

一、处置流程与最小停机策略

• 隔离与止血：先在云安全组或本机防火墙临时封禁外网访问，仅保留SSH 22与必要业务端口；必要时将业务切到备用实例，避免持续对外扩散与回连。
• 取证与定位：记录异常的CPU/内存/网络连接，用top/htop、pstree -p、ss -lntp、lsof -p <PID>定位可疑进程与可执行文件路径。
• 阻断持久化：优先清理各类定时任务、开机启动、systemd 服务、环境变量、SSH 公钥等持久化入口，再终止进程，避免“边杀边生”。
• 清除与恢复：对可疑文件进行隔离/删除，必要时先移除不可变属性（chattr -i），随后重装被篡改的系统命令与相关软件包，恢复系统完整性。
• 复核与留痕：复核是否还有隐藏进程、异常网络连接与可疑文件；全过程保留日志，便于复盘与加固。
  以上流程适用于CentOS 7/8等常见版本，操作前建议对关键目录与配置文件做快照备份。

二、重点排查清单与命令

• 计划任务
  • 用户级：ls -l /var/spool/cron/*
  • 系统级：cat /etc/crontab、ls -l /etc/cron.d/、ls -l /etc/cron.*
• 开机启动与系统服务
  • systemd：ls -l /etc/systemd/system/、ls -l /etc/systemd/system/multi-user.target.wants/
  • SysV：ls -lA /etc/rc.d/init.d/
• 环境变量与库劫持
  • 全局/用户：cat /etc/profile、cat /etc/bashrc、~/.bash*，以及cat /etc/ld.so.preload（若非空需重点核查）。
• 系统命令与隐藏文件
  • 可疑新/大文件：ls -Athl /usr/bin /usr/sbin、ls -AShl /usr/bin /usr/sbin
  • 隐藏文件：find /usr/bin /usr/sbin -iname ".*" -ls
• 内核与网络
  • 可疑内核参数：cat /etc/sysctl.conf（如异常vm.nr_hugepage）
  • 解析与 hosts：cat /etc/resolv.conf、cat /etc/hosts
• 账户与密钥
  • 登录用户：cat /etc/passwd | grep -i /bin/bash
  • 免密登录：cat /root/.ssh/authorized_keys
• 临时目录与共享内存
  • ls -Al /tmp /var/tmp /dev/shm
    以上位置是恶意软件最常见的持久化与藏身之处，应逐项核对并清理异常项。

三、查杀工具与命令示例

• ClamAV 安装与扫描
  • 安装：yum -y install epel-release && yum -y install clamav clamd clamav-update
  • 更新病毒库：freshclam
  • 扫描与隔离：clamscan -r --move=/root/infected -i -l /var/log/clamscan.log /usr/sbin /usr/bin /tmp /var/tmp
• Rootkit 与安全检查
  • Chkrootkit：yum install -y wget gcc-c++ glibc-static && wget -c ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz && tar xzf chkrootkit.tar.gz && cd chkrootkit* && make sense && ./chkrootkit
  • Rkhunter：yum install -y epel-release rkhunter && rkhunter -c
  • Lynis：lynis audit system（安全审计与加固建议）
• 被篡改命令的恢复（示例）
  • yum -y reinstall procps lsof iproute net-tools coreutils curl wget findutils rsyslog
    以上工具覆盖病毒扫描、rootkit 检测、系统审计三大类，建议组合使用以提高检出率。

四、常见场景与应对要点

• 挖矿木马（如kdevtmpfsi/kinsing）
  • 现象：CPU长期接近100%；top中出现随机名进程，杀掉后再生。
  • 处置：先清理异常crontab与启动项；终止kinsing后再杀kdevtmpfsi；删除下载脚本与可疑文件；核查6379 Redis是否对外暴露与弱口令并修复。
• 随机名自我保护木马（如通过**/etc/cron.hourly/脚本与/lib/libudev.so**扩散）
  • 处置：先“破坏可执行性”（如清空或移除执行权限）再删除，避免立即再生；随后清理/etc/cron.hourly/*与对应启动项；核对/lib/libudev.so*及相关副本。
• 文件属性隐藏与防删
  • 现象：rm/ chmod无效。
  • 处置：用lsattr查看，执行chattr -iRa <文件或目录>解除不可变/追加属性后再清理。
• 系统命令被替换（ps/top/netstat 等“看不见”异常进程）
  • 处置：用clamscan或rpm -V <包名>识别异常；随后重装对应软件包恢复命令完整性，再继续清理。
    以上场景与手法在实战中高频出现，按“先断持久化—再杀进程—后清文件—最后恢复”的顺序执行更稳妥。

五、加固与后续防护

• 最小化暴露面：仅放行业务必需端口（如80/443），管理端口（如22）限制来源 IP；数据库端口（如3306/6379）禁止公网访问。
• 身份与访问控制：禁用或删除无用账户，设置强密码/密钥，禁止 root 远程登录，使用sudo精细化授权。
• 系统与软件更新：定期执行yum update与安全补丁；对关键业务先快照/备份再变更。
• 防火墙与最小服务：启用firewalld，按需放行；关闭未使用服务（如 telnet/ftp）。
• 持续监测与审计：部署ClamAV 定期扫描、Chkrootkit/Rkhunter/Lynis例行巡检；启用日志集中与告警（如logwatch）。
• 应用安全：避免以root运行应用；修补常见漏洞（如Log4j2、Spring4Shell等）；必要时在WAF后部署业务。
  以上措施可显著降低再次入侵概率，并提升异常发现与处置效率。