Linux 서버에서 맬웨어를 스캔하고 제거하는 방법

먼저 비정상적인 네트워크 연결, 알 수없는 프로세스, 의심스러운 사용자 또는 예약 된 작업, 시스템 파일 수정 및 로그 예외를 확인합니다. 2. Clamav 스캔 맬웨어를 설치하고 실행하고 rkhunter 및 chkrootkit을 사용하여 Rootkit을 감지하십시오. 3. 파일, 문자열, 통계 및 기타 명령을 사용하여 의심스러운 파일을 분석하고 virustotal을 통해 프로세스 파일 및 포트 점령을 확인하십시오. 4. 악성 프로세스 종료, 악성 파일 및 예약 된 작업을 삭제하고 시스템 업데이트, 비밀번호 수정, 불필요한 서비스 및 포트를 닫고 자동 업데이트 활성화, SSH 키 로그인 구성 및 배포 실패 2BAN; 5. 시스템이 심각하게 감염된 경우, 특히 루트 키트가 발견 될 때 필요한 스캔 데이터를 백업하고 다시 설치하여 위협이 완전히 지워지는지 확인해야합니다.

Linux 서버가 손상되었거나 악의적 인 소프트웨어를 실행중인 것으로 의심되는 경우 빠르게 행동하는 것이 필수적입니다. 데스크탑 시스템과 달리 Linux 서버는 종종 중요한 서비스를 실행하여 맬웨어 감지 및 제거가 우선 순위가 높은 작업입니다. 맬웨어를 효과적으로 스캔하고 제거하는 방법은 다음과 같습니다.

1. 타협의 징후를 확인하십시오

스캔을 실행하기 전에 맬웨어 또는 무단 액세스의 일반적인 지표를 찾으십시오.

• 비정상적인 네트워크 활동 : netstat -tulnp 또는 ss -tulnp 사용하여 활성 연결을 나열하고 의심스러운 아웃 바운드 연결을 식별하십시오.
• 알 수없는 프로세스 : 실행 프로세스를 검토하기 위해 ps auxf 또는 top 실행하십시오. 익숙하지 않거나 난독 화 된 이름을 찾으십시오.
• 예상치 못한 사용자 또는 CRON 작업 : 알려지지 않은 사용자에 대해 /etc/passwd 확인하고 crontab -l 및 ls /etc/cron.* 를 사용하여 CRON 작업을 검토하십시오.
• 수정 된 시스템 바이너리 : rkhunter 및 chkrootkit 과 같은 도구는 Rootkits에서 사용하는 대체 바이너리 (예 : ls , ps )를 감지 할 수 있습니다.
• Log Anomalies : 실패한 로그인 시도 또는 예기치 않은 루트 로그인에 대한 /var/log/auth.log (또는 /var/log/secure )를 검토하십시오.

2. 맬웨어 스캔 도구를 설치하고 실행하십시오

신뢰할 수있는 오픈 소스 도구를 사용하여 시스템을 스캔하십시오. 공식 리포지토리에서 설치하십시오.

CLAMAV - 일반 맬웨어 스캐너

Clamav는 맬웨어, 트로이 목마 및 피싱 컨텐츠를 감지하는 데 널리 사용됩니다.

 # clamav를 설치하십시오
sudo apt update && sudo apt install clamav -daemon -y # debian/ubuntu
Sudo Yum 설치 EPEL RELEASE && SUDO YUM 설치 CLAMAV # RHEL/CENTOS

# 바이러스 정의를 업데이트합니다
Sudo Freshclam

# 전체 시스템을 스캔합니다 (오류를 피하기 위해 제외 /Proc, /Sys, /dev)
sudo clamscan -r --exclude -dir =^/proc-exclude_dir =^/sys -exclude_dir =^/dev/

# 감염된 파일을 자동으로 제거하려면 (주의해서 사용)
sudo clamscan -r -remove --exclude_dir =^/proc -exclude_dir =^/sys -exclude_dir =^/dev/

참고 : Clamav는 파일 서버의 Windows 악성 코드에 더 효과적이지만 여전히 알려진 Linux 위협을 포착 할 수 있습니다.

Rkhunter - Rootkit Detection

루트 키트는 시스템에 깊이 숨어 있습니다. Rkhunter는 알려진 Rootkit 서명 및 시스템 이상을 확인합니다.

 # 설치하다
Sudo apt rkhunter # Debian/Ubuntu 설치
Sudo Yum 설치 RKHUNTER # RHEL/CENTOS

# 업데이트 및 실행 테스트
Sudo Rkhunter -Update
Sudo rkhunter -Check

# /var/log/rkhunter.log에서 로그를 검토하십시오

CHKROOTKIT - 가벼운 루트 키트 스캐너

루트 키트 감지를위한 또 다른 도구.

 # 설치 및 실행
sudo apt chkrootkit을 설치하십시오
Sudo Chkrootkit

3. 의심스러운 파일과 프로세스를 분석하십시오

스캔 또는 수동 점검이 의심스러운 것을 찾는 경우 :

• 파일 식별 : file /path/to/suspicious 사용하여 어떤 유형인지 확인하십시오.
• 알려진 맬웨어에 대한 해시를 확인하십시오 : 의심스러운 파일을 바이러스 토르에 업로드하거나 clamscan 사용하십시오.
• 문자열로 검사 : strings /path/to/file | head -20 실행하십시오 읽기 가능한 텍스트를 보려면 strings /path/to/file | head -20 C2 서버 또는 명령을 공개 할 수 있습니다.
• 파일 원산지 확인 : stat 및 ls -la 사용하여 생성/수정 시간과 소유권을 확인하십시오.
• 관련 파일 검색 : find / -name "*suspicious_pattern*" 2>/dev/null 사용.

과정이 의심스러운 경우 :

• lsof -p <PID> 사용하여 사용중인 파일과 포트를 확인하십시오.
• ps aux | grep <PID> 사용하십시오 명령 줄 인수를 보려면 ps aux | grep <PID> .

4. 맬웨어를 제거하고 시스템을 강화하십시오

맬웨어가 식별되면 :

• 악의적 인 과정을 죽이기 :

   Sudo Kill -9 <Pid>

• 악성 파일 삭제 :

   Sudo rm -f/path/to/malware

• 악성 CRON 작업 또는 시작 항목을 제거하십시오 .
  • crontab -e 또는 check /etc/cron.d/ 편집
  • /etc/rc.local , SystemD Services ( systemctl list-unit-files ) 및 Init Scripts를 확인하십시오.

그런 다음 후회를 방지하기위한 조치를 취하십시오.

• 시스템 업데이트 :

   sudo apt upgrade && sudo apt autoremove # debian/ubuntu
  Sudo Yum 업데이트 # Rhel/Centos

• 루트 및 사용자 계정의 비밀번호를 변경합니다 .
• 사용하지 않는 서비스를 비활성화 하고 불필요한 방화벽 포트를 폐쇄하십시오.
• 가능한 경우 자동 보안 업데이트를 활성화하십시오 .
• SSH 키 인증을 사용하고 SSH를 통해 루트 로그인을 비활성화하십시오.
• Rute-Force 시도를 차단하려면 FAIL2BAN을 설치하십시오 .

---

5. 재건을 고려하십시오 (심한 감염에 대한 모범 사례)

시스템이 깨끗한 지, 특히 루트 키트가 감지 된 경우 가장 안전한 옵션은 다음과 같습니다.

• 필수 데이터 만 백업합니다 (스캔 한 후).
• OS를 처음부터 다시 설치하십시오.
• 서비스 및 데이터를주의해서 복원하십시오.

손상된 시스템에는 스캐너를 놓치는 숨겨진 백도어가있을 수 있습니다.

---

Linux 서버를 스캔하고 청소하려면주의와 검증이 필요합니다. 여러 도구를 사용하고 결과를 검증하며 보안 경화 우선 순위를 정하십시오. 의심스러운 경우 재건하십시오.

위 내용은 Linux 서버에서 맬웨어를 스캔하고 제거하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!