勒索软件 (如Linux.Encoder, EvilGnome)
挖矿木马 (如XMRig, Linux.MulDrop.14)
后门程序 (如Backdoor.Linux.Platform.13)
Rootkit (如Linux.Rootkit, Reptile)
蠕虫病毒 (如Linux.Wifatch)
系统资源监控
top # 查看CPU使用情况
htop # 更直观的资源监控
nethogs # 监控网络流量
iotop # 监控磁盘I/O
进程检查
ps auxf # 查看所有进程
pstree # 以树状显示进程
lsof -i # 查看网络连接
文件系统检查
find / -type f -mtime -7 # 查找7天内修改的文件
ls -la /tmp # 检查临时目录
rpm -Va # 验证RPM包完整性(RedHat系)
debsums -a # 验证DEB包完整性(Debian系)
Rootkit检测工具
chkrootkit
rkhunter --check
隔离系统
识别恶意进程
kill -STOP [PID] # 暂停可疑进程
清除恶意文件
rm -f /path/to/malware
检查定时任务
crontab -l # 当前用户
ls /etc/cron* # 系统定时任务
系统加固
bash
ufw enable # Ubuntu简单防火墙
iptables -L # 查看规则安全工具部署
bash
clamav # 开源防病毒
sudo freshclam # 更新病毒库
sudo clamscan -r / --bell -ibash
aide # 文件完整性检查
tripwire # 入侵检测权限管理
日志监控
journalctl -xe # 查看系统日志
tail -f /var/log/auth.log # 监控认证日志
SELinux/AppArmor
sestatus # 查看SELinux状态
aa-status # 查看AppArmor状态
容器隔离
文件系统防护
chattr +i /critical/file # 设置不可修改标志
mount -o remount,ro /partition # 只读挂载
网络层防护
sudo apt install fail2ban
sudo systemctl enable fail2ban
系统恢复
取证分析
dd if=/dev/sda of=image.img bs=1M # 创建磁盘镜像
事后分析
通过以上措施,可以显著提高Linux系统的安全性,及时发现并处理恶意软件威胁。记住,没有绝对安全的系统,只有通过持续监控和更新才能有效防御不断演变的威胁。