一次监控网络，linux杀毒经历

一次监控网络，linux杀毒经历
某个项目一位网管监控到网内一台服务器网络明显异常，其他主机都不能访问了，好几次了。
一，查看是否有特权用户：
检查是否组id为0的用户
awk -F: '$3==0 {print $1}' /etc/passwd
检查密码是否为空的用户：
awk -F: 'length($2)==0 {print $1}' /etc/shadow

二，查看恶意进程等等
先使用ps ajfx查看恶意进程，使用ifconfig查看网络收发情况
使用ps命令看到有个sshd: root [priv]进程，不知是什么东东
 ps  -aux |grep sshd
root      3443  0.0  0.0   2544   452 ?        S    8   0:18 /usr/sbin/sshd -D
root     11329  2.0  0.0   4300  1008 ?        Ssl  14:42   0:00 sshd: root [priv]
sshd     11330  0.0  0.0   3952   636 ?        S    14:42   0:00 sshd: root [net]
root     11344  0.0  0.0 114824   996 pts/1    S+   14:43   0:00 grep --color=auto sshd
root     26755  0.0  0.0   6748  2548 ?        Ss   13:05   0:00 sshd: root@pts/1,pts/3
root     33263  0.0  0.0   5376  1104 ?        Ss   13:43   0:00 sshd: root@pts/0
另外用iftop或者nethogs检测网络情况

iftop 一个带宽使用监测工具，可以实时显示某个网络连接的带宽使用情况。它对所有带宽使用情况排序并通过ncurses的接口来进行可视化。
 他可以方便的监控哪个连接消耗了最多的带宽。
nethogs：一个基于ncurses显示的进程监控工具，提供进程相关的实时的上行/下行带宽使用信息，也可以看累积发送接收量。它对检测占用大量带宽的进程很有用。

iftop安装使用
安装：
依赖包：yum install flex byacc  libpcap ncurses ncurses-devel libpcap-devel
然后源码或者ｒｐｍ安装最新的iftop
./configure
make & make install
使用：
默认是监控第一块网卡的流量
iftop
监控eth1
iftop -i eth1
直接显示IP, 不进行DNS反解析
iftop -n
直接显示连接埠编号, 不显示服务名称:
iftop -N
显示某个网段进出封包流量
iftop -F 192.168.1.0/24 or 192.168.1.0/255.255.255.0
显示端口号
iftop -P
iftop界面含义如下

第一行：带宽显示
中间部分：外部连接列表，即记录了哪些ip正在和本机的网络连接
中间部分右边：实时参数分别是该访问ip连接到本机2秒，10秒和40秒的平均流量
=>代表发送数据，<= 代表接收数据
底部三行：表示发送，接收和全部的流量
底部三行第二列：为你运行iftop到目前流量
底部三行第三列：为高峰值
底部三行第四列：为平均值

通过iftop的界面很容易找到哪个ip在霸占网络流量，这个是ifstat做不到的。不过iftop的流量显示单位是Mb,这个b是bit，是位，不是字节，而ifstat的KB，这个B就是字节了，byte是bit的8倍。初学者容易被误导。

进入iftop的命令
进入iftop画面后的一些操作命令(注意大小写)
按h切换是否显示帮助;
按n切换显示本机的IP或主机名;
按s切换是否显示本机的host信息;
按d切换是否显示远端目标主机的host信息;
按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;
按N切换显示端口号或端口服务名称;
按S切换是否显示本机的端口信息;
按D切换是否显示远端目标主机的端口信息;
按p切换是否显示端口信息;
按P切换暂停/继续显示;
按b切换是否显示平均流量图形条;
按B切换计算2秒或10秒或40秒内的平均流量;
按T切换是否显示每个连接的总流量;
按l打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息;
按L切换显示画面上边的刻度;刻度不同，流量图形条会有变化;
按j或按k可以向上或向下滚动屏幕显示的连接记录;
按1或2或3可以根据右侧显示的三列流量数据进行排序;
按<根据左边的本机名或IP排序;
按>根据远端目标主机的主机名或IP排序;
按o切换是否固定只显示当前的连接;
按f可以编辑过滤代码，这是翻译过来的说法，我还没用过这个！
按!可以使用shell命令，这个没用过！没搞明白啥命令在这好用呢！
按q退出监控。

确定晋城信息
2.确定该端口号对应的应用进程PID
# lsof -i:58218   或者   netstat -atunp |grep 58218
确认了PID为25701。下一步根据PID确定是哪个进程
3.确定进程名称
根据进程PID确定进程的名称
# cat /proc/25701/cmdline

Nethogs
你可以用命令iftop来检查带宽使用情况。netstat用来查看接口统计报告，还有top监控系统当前运行进程。
但是如果你想要找一个能够按进程实时统计网络带宽利用率的工具，那么NetHogs值得一看。
NetHogs是一个开源的命令行工具（类似于Linux的top命令），用来按进程或程序实时统计网络带宽使用率
yum install nethogs
或者使用rpm包安装，在linux工具包里边有
例子：
例如：设置5秒钟的刷新频率，键入如下命令即可：
# nethogs -d 5
如果只用来监视设备（eth0）的网络带宽可以使用如下命令：
# nethogs eth0
如果要同时监视eth0和eth1接口，使用以下命令即可：
# nethogs eth0 eth1
注意：按“m”键可以切换到统计视图，显示各进程总的网络使用情况
然后使用进程ID，查看那个程序
ll /proc/27273
其中：
cwd符号链接的是进程运行目录；
exe符号连接就是执行程序的绝对路径；
cmdline就是程序运行时输入的命令行命令；
environ记录了进程运行时的环境变量；
fd目录下是进程打开或使用的文件的符号连接

三，安装杀毒软件
这里使用的是ClamAV，官网地址为：http://www.clamav.net/downloads，也有人用AVG ANTIVIRUS FREE - FOR LINUX
ClamAV是一个在命令行下查毒软件，因为它不将杀毒作为主要功能，默认只能查出您计算机内的病毒，但是无法清除，至多删除文件，这需要手工处理，比如删了ps，就需要从别的服务器copy过来
3.1 安装EPEL 
 yum install epel-release
3.2 安装ClamAV
 yum install -y clamav
3.3 配置文件移除或者注释掉example，不过最新版本好像已经注视了
# sed -i -e “s/^Example/#Example/” /etc/freshclam.conf
# sed -i -e “s/^Example/#Example/” /etc/clamd.d/scan.conf
3.4 更新病毒库，这个基本每天都在更新
 freshclam
3.5 扫描
查看帮助clamscan -h
clamscan -r --bell -i /
说明，-r递归扫描，-i只显示有问题的
...
/root/.viminfo: OK -- 显示没问题
/usr/bin/ps: Legacy.Trojan.Agent-1388639 FOUND -- 显示有问题的文件
/usr/bin/netstat: Legacy.Trojan.Agent-1388639 FOUND

看看结果：

LibClamAV Warning: cli_scanxz: decompress file size exceeds limits - only scanning 26693632 bytes
LibClamAV Warning: cli_scanxz: decompress file size exceeds limits - only scanning 27262976 bytes
/usr/bin/ps: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/netstat: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/pythno: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/bsd-port/knerl: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/scnetstat: Legacy.Trojan.Agent-1388639 FOUND
/usr/sbin/lsof: Legacy.Trojan.Agent-1388639 FOUND

/u01/database/stage/Components/oracle.sysman.plugin.db.main.oms/11.2.0.4.0/1/DataFiles/filegroup4.jar: Swf.Exploit.CVE_2015_7645-1 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4490129
Engine version: 0.99.2
Scanned directories: 50357
Scanned files: 287038
Infected files: 7
Total errors: 36788
Data scanned: 31844.56 MB
Data read: 32002.43 MB (ratio 1.00:1)
Time: 3416.769 sec (56 m 56 s)