linux病毒查杀规范

一、病毒发现

　　1、ps -A、ps -ef、ps -aux查看是否有异常进程

　　2、last，lastlog命令可查看最近登录的帐户及时间

　　3、查看/var/log/messages（系统整体信息，包含启动等） , /var/log/secure（安全日志）、/var/log/cron（cron定时任务）。

二、文件定位

　　1、查看风险用户任务计划，文件/var/spool/cron/tabs/xx（用户）

　　2、几个经常被放置木马病毒的目录，/tmp, /var/tmp, /dev/shm（这些目录都设置了SBIT，即所有用户都可读，可写，可执行。并且在访问这些目录的同时拥有root权限）

　　3、通过时间来查找，find / -ctime n   n为指定的时间，可通过上述找到的信息，综合判断，然后选取时间点，查找在那个时间点创建的文件。比如2天前的24小时内，就可用find / -ctime 2 > /tmp/file.log

      4、各类服务日志，比如apache日志: $APACHE_HOME/logs/access_log ,$APACHE_HOME/logs/error_log

三、病毒处理

　　1、find / -name filename找到病毒文件路径

　　2、kill -9 PID&& rm filename杀掉病毒并清除病毒文件(如果无十分把握，不要使用rm删除)

      3、ps -A | grep filename看是否杀掉（如果过一会启动，需要看cron等日志，看如何被再次启动）

　　4、touch filename && chmod -r-w-x filename建立无效的同名文件，ls -l查看是否成功

　　5、查看linux系统/etc/init.d, /etc/rc.d(init.d, rcx.d, rc.local)。