Security Center のセキュリティアラート、システムレベルの調査、診断コマンドを使用して、Linux システムからトロイの木馬を特定し、削除します。
背景情報
トロイの木馬は、パッチが適用されていない脆弱性や脆弱なセキュリティ設定を悪用します。削除後は、セキュリティパッチの適用、権限の強化、操作の監査、ログの分析を行い、防御を強化してください。
ステップ 1:Security Center によるトロイの木馬の削除
-
セキュリティアラートに対処し、トロイの木馬を削除してください。詳細については、「アラートの評価と対処」をご参照ください。
-
直ちにシステムの脆弱性を修正してください。詳細については、「Linux ソフトウェアの脆弱性の表示と対処」をご参照ください。
ステップ 2:侵害の痕跡の調査
-
lastおよびlastlogを実行して、最近のログインに不審なアクティビティがないか確認してください。 -
grep -i Accepted /var/log/secureを実行して、リモートログインに成功した IP アドレスを特定してください。 -
不審な cron ジョブを確認してください:
cat /var/spool/cron/ cat /etc/cron.hourly cat /etc/crontab -
find / -ctime -1を実行して、最近変更されたファイルを検索し、トロイの木馬を特定してください。 -
/etc/passwd ファイルと /etc/shadow ファイルで不審なユーザーアカウントを確認してください。
-
/tmp、/var/tmp、/dev/shm にトロイの木馬ファイルがないか確認してください。これらのディレクトリは通常
1777の権限を持っているため、攻撃者の標的になります。 -
インターネットに接続されているサービス (Tomcat、NGINX) のログで、異常なエントリがないか確認してください。
-
service --status-all | grep runningを実行して、実行中のサービスに異常がないか確認してください。 -
chkconfig --list | grep :onを実行して、自動起動サービスに異常がないか確認してください。 -
ls -lt /etc/init.d/ | headを実行して、異常な起動スクリプトがないか確認してください。
ステップ 3:診断コマンド
|
コマンド |
説明 |
|
ps, top |
アクティブなプロセスとリソース使用量を一覧表示します。異常なプロセスを特定します。 |
|
pstree |
プロセスの関係をツリー形式で表示します。 |
|
lsof |
開いているファイルと、それらを開いたプロセスを一覧表示します。特定のファイルまたはポートを使用しているプロセスを特定します。 |
|
netstat |
ネットワーク接続とリッスンポートを表示します。過剰な接続を持つ IP アドレスを特定します。 |
|
iftop |
インターフェイスごとのリアルタイムのネットワークトラフィックを監視します。異常トラフィックを生成している IP アドレスを特定します。 |
|
nethogs |
帯域幅でソートされたプロセスごとのネットワークトラフィックを監視します。異常トラフィックを生成しているプロセスを特定します。 |
|
strace |
プロセスによって行われたシステムコールをトレースします。疑わしいトロイの木馬の動作を分析します。 |
|
strings |
バイナリから表示可能な文字列を抽出します。疑わしいトロイの木馬ファイルの分析に役立ちます。 |