すべてのプロダクト
Search
ドキュメントセンター

Security Center:Linux でのトロイの木馬の検知と削除

最終更新日:May 28, 2026

Security Center のセキュリティアラート、システムレベルの調査、診断コマンドを使用して、Linux システムからトロイの木馬を特定し、削除します。

背景情報

トロイの木馬は、パッチが適用されていない脆弱性や脆弱なセキュリティ設定を悪用します。削除後は、セキュリティパッチの適用、権限の強化、操作の監査、ログの分析を行い、防御を強化してください。

ステップ 1:Security Center によるトロイの木馬の削除

  1. セキュリティアラートに対処し、トロイの木馬を削除してください。詳細については、「アラートの評価と対処」をご参照ください。

  2. 直ちにシステムの脆弱性を修正してください。詳細については、「Linux ソフトウェアの脆弱性の表示と対処」をご参照ください。

ステップ 2:侵害の痕跡の調査

  • last および lastlog を実行して、最近のログインに不審なアクティビティがないか確認してください。

  • grep -i Accepted /var/log/secure を実行して、リモートログインに成功した IP アドレスを特定してください。

  • 不審な cron ジョブを確認してください:

    cat /var/spool/cron/
    cat /etc/cron.hourly
    cat /etc/crontab
  • find / -ctime -1 を実行して、最近変更されたファイルを検索し、トロイの木馬を特定してください。

  • /etc/passwd ファイルと /etc/shadow ファイルで不審なユーザーアカウントを確認してください。

  • /tmp/var/tmp/dev/shm にトロイの木馬ファイルがないか確認してください。これらのディレクトリは通常 1777 の権限を持っているため、攻撃者の標的になります。

  • インターネットに接続されているサービス (Tomcat、NGINX) のログで、異常なエントリがないか確認してください。

  • service --status-all | grep running を実行して、実行中のサービスに異常がないか確認してください。

  • chkconfig --list | grep :on を実行して、自動起動サービスに異常がないか確認してください。

  • ls -lt /etc/init.d/ | head を実行して、異常な起動スクリプトがないか確認してください。

ステップ 3:診断コマンド

コマンド

説明

ps, top

アクティブなプロセスとリソース使用量を一覧表示します。異常なプロセスを特定します。

pstree

プロセスの関係をツリー形式で表示します。

lsof

開いているファイルと、それらを開いたプロセスを一覧表示します。特定のファイルまたはポートを使用しているプロセスを特定します。

netstat

ネットワーク接続とリッスンポートを表示します。過剰な接続を持つ IP アドレスを特定します。

iftop

インターフェイスごとのリアルタイムのネットワークトラフィックを監視します。異常トラフィックを生成している IP アドレスを特定します。

nethogs

帯域幅でソートされたプロセスごとのネットワークトラフィックを監視します。異常トラフィックを生成しているプロセスを特定します。

strace

プロセスによって行われたシステムコールをトレースします。疑わしいトロイの木馬の動作を分析します。

strings

バイナリから表示可能な文字列を抽出します。疑わしいトロイの木馬ファイルの分析に役立ちます。