在日常繁琐的运维工作中，对linux服务器进行安全检查是一个非常重要的环节。今天，分享一下如何检查linux系统是否遭受了入侵？
一、是否入侵检查
1）检查系统日志
检查系统错误登陆日志，统计IP重试次数（last命令是查看系统登陆日志，比如系统被reboot或登陆情况）
[root@bastion-IDC ~]# last
2）检查系统用户
查看是否有异常的系统用户
[root@bastion-IDC ~]# cat /etc/passwd
查看是否产生了新用户，UID和GID为0的用户
[root@bastion-IDC ~]# grep "0" /etc/passwd
查看passwd的修改时间，判断是否在不知的情况下添加用户
[root@bastion-IDC ~]# ls -l /etc/passwd
查看是否存在特权用户
[root@bastion-IDC ~]# awk -F: '$3==0 {print $1}' /etc/passwd
查看是否存在空口令帐户
[root@bastion-IDC ~]# awk -F: 'length($2)==0 {print $1}' /etc/shadow
3）检查异常进程
注意UID为0的进程
使用ps -ef命令查看进程
察看该进程所打开的端口和文件
[root@bastion-IDC ~]# lsof -p pid命令查看
检查隐藏进程
[root@bastion-IDC ~]# ps -ef | awk '{print }' | sort -n | uniq &1
[root@bastion-IDC ~]# ls /porc |sort -n|uniq &2
[root@bastion-IDC ~]# diff 1 2
4）检查异常系统文件
[root@bastion-IDC ~]# find / -uid 0 &perm -4000 &print
[root@bastion-IDC ~]# find / -size +10000k &print
[root@bastion-IDC ~]# find / -name "&" &print
[root@bastion-IDC ~]# find / -name ".." &print
[root@bastion-IDC ~]# find / -name "." &print
[root@bastion-IDC ~]# find / -name " " &print
5）检查系统文件完整性
[root@bastion-IDC ~]# rpm &qf /bin/ls
[root@bastion-IDC ~]# rpm -qf /bin/login
[root@bastion-IDC ~]# md5sum &b 文件名
[root@bastion-IDC ~]# md5sum &t 文件名
6）检查RPM的完整性
[root@bastion-IDC ~]# rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin
输出格式说明：
S & File size differs
M & Mode differs (permissions)
5 & MD5 sum differs
D & Device number mismatch
L & readLink path mismatch
U & user ownership differs
G & group ownership differs
T & modification time differs
7）检查网络
[root@bastion-IDC ~]# ip link | grep PROMISC（正常网卡不该在promisc模式，可能存在sniffer）
[root@bastion-IDC ~]# lsof &i
[root@bastion-IDC ~]# netstat &nap（察看不正常打开的TCP/UDP端口)
[root@bastion-IDC ~]# arp &a
8）检查系统计划任务
[root@bastion-IDC ~]# crontab &u root &l
[root@bastion-IDC ~]# cat /etc/crontab
[root@bastion-IDC ~]# ls /etc/cron.*
9）检查系统后门
[root@bastion-IDC ~]# cat /etc/crontab
[root@bastion-IDC ~]# ls /var/spool/cron/
[root@bastion-IDC ~]# cat /etc/rc.d/rc.local
[root@bastion-IDC ~]# ls /etc/rc.d
[root@bastion-IDC ~]# ls /etc/rc3.d
10）检查系统服务
[root@bastion-IDC ~]# chkconfig &list
[root@bastion-IDC ~]# rpcinfo -p（查看RPC服务）
11）检查rootkit
[root@bastion-IDC ~]# rkhunter -c
[root@bastion-IDC ~]# chkrootkit -q
二、linux系统被入侵/中毒的表象
比较常见的中毒表现在以下三个方面：
1）服务器出去的带宽会跑高这个是中毒的一个特征。
因为服务器中毒之后被别人拿去利用，常见的就是拿去当肉鸡攻击别人；再者就是拿你的数据之类的。
所以服务器带宽方面需要特别注意下，如果服务器出去的带宽跑很高，那肯定有些异常，需要及时检查一下！
2）系统里会产生多余的不明的用户
中毒或者被入侵之后会导致系统里产生一些不明用户或者登陆日志，所以这方面的检查也是可以看出一些异常的。
3）开机是否启动一些不明服务和crond任务里是否有一些来历不明的任务？
因为中毒会随系统的启动而启动的，所以一般会开机启动，检查一下启动的服务或者文件是否有异常，一般会在/etc/rc.local和crondtab -l 显示出来。
三、顺便说下一次Linux系统被入侵/中毒的解决过程
在工作中碰到系统经常卡，而且有时候远程连接不上，从本地以及远程检查一下这个系统，发现有不明的系统进程。
初步判断就是可能中毒了！！！
解决过程：
1）在监控里检查一下这台服务器的带宽，发现服务器出去的带宽跑很高，所以才会导致远程连接卡甚至连接不上，这是一个原因。
为什么服务器出去的带宽这么高且超出了开通的带宽值？这个原因只能进入服务器系统里检查了。
2）远程进入系统里检查了下， ps -aux查到不明进程 ，立刻关闭它。
3）检查一下开机启动项：
#chkconfig --list | grep 3:on
服务器启动级别是3的，我检查一下了开机启动项，没有特别明显的服务。
然后检查了一下开机启动的一个文件
#more /etc/rc.local
看到这个文件里被添加了很多未知项，注释了它。
4）然后在远程连接这台服务器的时候，还是有些卡。
检查了一下系统的计划任务crond，使用crondtab -l 命令进行查看，看到很多注释行。
这些注释行与/etc/rc.local的内容差不多。最后备份下/var/spool/cron/root文件（也就是root下的crontab计划任务内容），就删除了crontab内容，然后停止crond任务，并chkconfig crond off 禁用它开机启动。
5）为了彻底清除危害，我检查了一下系统的登陆日志（last命令查看），看到除了root用户之外还有其它的用户登陆过。
检查了一下/etc/passwd ，看到有不明的用户，立刻用usermod -L XXX 禁用这些用户。
然后更新了下系统的复杂密码。
----------------------------------------------------
禁用/锁定用户登录系统的方法
1. usermod -L username 锁定用户
usermod -U username 解锁
2. passwd -l username 锁定用户
passwd -u username 解锁
3.修改用户的shell类型为/sbin/nologin（/etc/passwd文件里修改）
4.在/etc/下创建空文件nologin，这样就锁定了除root之外的全部用户
----------------------------------------------------
四、怎样确保linux系统安全
1）从以往碰到的实例来分析，密码太简单是一个错
用户名默认，密码太简单是最容易被入侵的对象，所以切忌不要使用太过于简单的密码，先前碰到的那位客户就是使用了太简单的且规则的密码 1q2w3e4r5t， 这种密码在扫描的软件里是通用的，所以很容易被别人扫描出来的。
2）不要使用默认的远程端口，避免被扫描到
扫描的人都是根据端口扫描，然后再进行密码扫描，默认的端口往往就是扫描器的对象，他们扫描一个大的IP 段，哪些开放22端口且认为是ssh服务的linux系统，所以才会猜这机器的密码。更改远程端口也是安全的一个措施！
3）使用一些安全策略进行保护系统开放的端口
使用iptables或者配置/etc/hosts.deny 和/etc/hosts.allow进行白名单设置
可以对/etc/passwd、/etc/group、/etc/sudoers、/etc/shadow等用户信息文件进行锁定（chattr +ai）
4）禁ping设置
# echo 1 & /proc/sys/net/ipv4/icmp_echo_ignore_all
---------------------------------------------------------发现一次服务器被getshell渗透的解决办法：
1）使用top命令发现一个python程序占用了95%的cpu
2）使用ps -ef|grep python发现下面程序：
python -pty.spamn("/bin/sh")
这个程序命令表示通过webshell反弹shell回来之后获取真正的ttyshell进行渗透到服务器里。kill掉这个进程！
3）发现在/var/spool/cron下面设置了一个nobody的定时执行上面获取getshell的渗透命令！果断删除这个任务！
4）ss -a发现一个可疑ip以及它的进程，果断在iptables里禁止这个ip的所有请求：
-I INPUT -s 180.125.131.192 -j DROP
-----------------------------------------------------------------------------------------------------------比如：在一台服务器上，已经启动了80端口的nginx进程，但是执行&lsof －i:80&或者"ps -ef"命令后，没有任何信息输出！这是为什么？怀疑机器上的ps命令被人黑了！执行：
[root@locahost ~]# which ps
[root@locahost ~]# ls -l /bin/ps
-rwxr-xr-x. 1 root root 85304 5月
11 2016 /bin/ps
[root@locahost ~]# stat /bin/ps
File: "/bin/ps"
Size: 85304
Blocks: 168
IO Block: 4096
Device: fc02h/64514d Inode: 13549
Access: (0755/-rwxr-xr-x)
17:14:37. +0800
07:23:09. +0800
17:14:37. +0800
发现ps命令的二进制文件果然在近期被改动过。
解决办法：可以拷贝别的机器上的/bin/ps二进制文件覆盖本机的这个文件。
-------------------------记一次Linux操作系统被入侵的排查过程--------------------------------------
某天突然发现IDC机房一台测试服务器的流量异常，几乎占满了机房的总带宽，导致其他服务器程序运行业务受阻！
意识到了这台测试机被人种了木马，于是开始了紧张的排查过程：
1）运行ps和top命令
发现了两个陌生名称的程序（比如mei34hu）占用了大部分CPU资源，显然这是别人植入的程序！
果断尝试kill掉这两个进程，kill后，测试机流量明显降下去。然而不幸的是，不一会儿又恢复了之前的状态。
2）将IDC这台测试机的外网关闭。远程通过跳板机内网登陆这台机器。
3）查看这些陌生程序所在路径
查找程序路径：
ls /proc/进程号/exe，然后再次kill掉进程，又会生成一个新的进程名，发现路径也是随机在PATH变量的路径中变换，有时在/bin目录，有时在/sbin，有时在/usr/bin目录中。
看来还有后台主控程序在作怪，继续查找。
4）尝试查找跟踪程序
查看/bin，/sbin，/usr/bin等目录下是否存在以.开头的文件名，发现不少，而且部分程序移除后会自动生成。
[root@localhost ~]# ls /usr/bin/.
//按Tab键补全
这说明还没找到主控程序。
5）接着用strace命令跟踪这些陌生程序：
[root@localhost ~]# strace /bin/mei34hu
结果发现在跟踪了这个程序后，它居然自杀了（把自己进程文件干掉了)！然后想用netstat看下网络连接情况，结果居然查不到任何对外的网络连接，于是开始怀疑命令被修改过了。
使用stat 查看系统命令ps、ls 、netstat、pstree等等：
[root@localhost ~]# which ps
/usr/bin/ps
[root@localhost ~]# which ls
alias ls='ls --color=auto'
/usr/bin/ls
[root@localhost ~]# which netstat
/usr/bin/netstat
[root@localhost ~]# stat /usr/bin/netstat
[root@localhost ~]# stat /usr/bin/ps
[root@localhost ~]# stat /usr/bin/ls
发现修改时间都是在最近的3天内，这让我猛然想起传说中的rootkit用户态级病毒！！
有可能是这台测试机刚安装好系统后，设置了root密码为123456，之后又把它放到过公网上被人入侵了。
接着查一下它在相关路径中还放了哪些程序：
[root@localhost ~]# find /bin -mtime -3 -type f | xargs rm -f
[root@localhost ~]# find /usr/bin -mtime -3 -type f | xargs rm -f
[root@localhost ~]# find /use/sbin -mtime -3 -type f | xargs rm -f
[root@localhost ~]# find /sbin -mtime -3 -type f | xargs rm -f
将上面查找出的3天前的程序统统都删掉，并强制断电，重启服务器！然而可恨的是这些程序在机器重启后又好端端的运行以来！
很明显，这些程序都被设置了开机自启动
6）查看系统启动项
[root@localhost ~]# find /etc/rc.d/ -mtime -3 ! -type d
果然这些程序都被设置了开机自启动。于是，就再来一次删除，然后暴力重启服务器。
[root@localhost ~]# find /bin -mtime -3 -type f | xargs rm -f
[root@localhost ~]# find /usr/bin -mtime -3 -type f | xargs rm -f
[root@localhost ~]# find /use/sbin -mtime -3 -type f | xargs rm -f
[root@localhost ~]# find /sbin -mtime -3 -type f | xargs rm -f
[root@localhost ~]# find /etc/rc.d/ -mtime -3 ! -type d | xargs rm -f
重启完服务器后，用top命令查看，系统CPU使用率也不高了。居然这样就被干掉了。
7）顾虑到系统常用命令中（如ls，ps等）可能会隐藏启动进程，这样一旦执行又会拉起木马程序。于是再查看下系统中是否创建了除root以外的管理员账号：
[root@localhost ~]# awk -F":" '{if($3 == 0) print $1}' /etc/passwd
结果发现只输入了root这一个用户，说明系统用户是正常的。
其实，当系统被感染rootkit后，系统已经变得不可靠了，唯一的办法就是重装系统了。
8）对于一些常用命令程序的修复思路：找出常用命令所在的rpm包，然后强制删除，最后在通过yum安装（由于外网已拿掉，可以通过squid代理上网的yum下载）
[root@localhost ~]# rpm -qf /bin/ps
[root@localhost ~]# rpm -qf /bin/ls
[root@localhost ~]# rpm -qf /bin/netstat
[root@localhost ~]# rpm -qf /usr/bin/pstree
然后将上面命令查找出来的rpm包强制卸载
[root@localhost ~]# rpm -e --nodeps ......
[root@localhost ~]# rpm -e --nodeps ......
[root@localhost ~]# rpm -e --nodeps ......
[root@localhost ~]# rpm -e --nodeps ......
接着再重新安装
[root@localhost ~]# yum install -y procps coreutils net-tools psmisc
最后重启下系统即可。除了上面这次排查之外，还可以：
1）结合服务器的系统日志/var/log/messages、/var/log/secure进行仔细检查。
2）将可疑文件设为不可执行，用chattr +ai将几个重要目录改为不可添加和修改，再将进程杀了，再重启
3）chkrootkit之类的工具查一下
对于以上这些梳理的木马排查的思路要清楚，排查手段要熟练。遇到问题不要慌，静下心，细查系统日志，根据上面的排查思路来一步步处理，这样Hacker就基本"投降"了~~~
阅读(...) 评论()揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01c1acb3bb.jpg"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
经常有人很好奇问，手机里的病毒木马都是怎么发现的，其实很多有技术含量的木马的发现过程抽丝剥茧，跟侦探大片差不多，没点卷福的本事干不了手机安全这行。日前，360互联网安全中心披露识骨寻踪“长老木马”三代的整个过程，堪称侦探大片。本期安全播报就为您追寻一下安卓手机“长老木马”的前生今世。
吸费手电筒初露冰山一角
　　近期很多网友的Android手机上“莫名其妙”地出现了“手电筒”、“日历”等应用，并且在没有Root的前提下无法卸载。即使获得了Root权限卸载了，没过多久又会再次出现。根据360互联网安全中心统计，有类似情况的“带病手机”已经超过百万。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t294532.png?size=363x592"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　始作俑者“长老木马”三代潜入手机系统
　　经过大量的用户配合反馈以及360互联网安全中心细致分析排查后，发现始作俑者为“长老木马（FakeDebuggerd）”家族的最新变种“长老木马”三代，该木马会将安卓系统文件/system/bin/debuggerd文件替换为重名的恶意文件，并偷偷联网下载ELF文件，ELF文件在手机运行后会自动释放并安装恶意篡改的手电筒和日历等应用。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/tbf3888d.jpg?size=460x302"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　另外，“长老木马”三代还会隐藏自身进程，回写文件修改时间，隐蔽性大大增强。“长老木马”三代会判断被恶意篡改的手电筒和日历应用在中招手机中是否存在，如果被卸载则会重新联网下载安装，因此很多手机用户卸载后这些程序还会再次出现。
　　木马宿主“省电专家”浮出水面
　　“长老木马”三代究竟从何而来？360互联网安全中心分析感染机型范围发现它的来源并不是随着ROM带下去的，应该是通过安装程序释放的。通过一系列的用户反馈进一步测试等待复现，“元凶”终于浮出了水面——“省电專家”。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01d224cfc36eb414df.jpg"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　木马作者在恶意篡改的“省电專家”中对类名和字符串进行了高度混淆加密，增加静态分析难度，同时，运行时释放seed.jar文件，这个文件正是“长老木马”三代的真正宿主。
　　追根溯源千余软件安装包为seed.jar携带者
　　360互联网安全中心分析发现，只要加载运行恶意文件seed.jar手机就会感染“长老木马”三代，
seed.jar通过伪装成常用软件以及“TJ”广告联网下载进行传播，这两类的样本总数量达到了1000多款，这正是“长老木马”三代的感染量如此高的原因。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/tb7804848a.jpg"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　同时，与早期版本的seed.jar文件对比，seed.jar执行流程从“线型”发展为“网状”，使用加密算法从“裸奔”到“面目全非”。
　　株连蔓引“大毒枭”家族传毒路径曝光
　　在分析“长老木马”三代的整个传播感染过程中，360互联网安全中心又揪出了另一个恶意木马家族——“大毒枭”（Trojan.Dropper.Android.Fakeinfo.A），该家族对漏洞利用文件和恶意APK包进行双层加密，以恶意样本为介质依次进行推广传播，借毒传毒，此外，还会通过云控私发扣费短信。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t012b9f1b3b73a63ca1.png?size=440x296"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　360手机安全专家指出，“长老木马”三代及“大毒枭”木马家族背后是一个庞大的手机病毒制造团伙，通过多种加密手段以及专业的混淆工具躲避安全检测，木马在手机中隐藏得更深，更难以清除。360互联网安全中心建议，App开发者在嵌入广告时应仔细甄别，以免嵌入恶意广告插件，给自己的软件及用户带来不必要的损失；广告商要加强推广软件的审查力度，不给恶意软件传播留下可趁之机。手机用户一定要通过正规渠道下载安装App应用，同时，安装专业的安全软件，开启安全监控。
2014年3月：安卓长老木马潜伏三年首发现 手机一秒变肉鸡
　　2014年3月，360手机安全中心研究发现，有一种潜伏在手机预装ROM中长达三年的“长老级”手机木马，从2011年至今已衍生出十几个变种，最新变种不但会窃取用户手机号、IMEI及地理位置等隐私等信息，同时还强制手机小组件来推广广告，还可以篡改手机浏览器主页、偷偷安装其他未知手机应用。该“长老”木马甚至还可根据窃取的手机号单独控制某一款手机。目前，360已紧急发布专杀工具，可彻底查杀该木马。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t4128e0.jpg?size=281x500"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　3月6日，360手机安全工程师申迪针对该木马发布研究报告。虽然与此前“不死木马”同为系统预置木马，但长老木马更加狡猾和隐蔽：木马会替换Android系统正常进程debuggerd来实现自启动，用户不会在启动程序中看到它，行为非常隐蔽。木马运行后会立即释放多个apk/jar/elf等多个木马“小弟”恶意程序来作恶。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01bc4efe.jpg?size=495x340"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　“即使将被释放出来的apk/jar/elf木马文件全部删除，长老木马仍会立即再次释放一次所有木马”，申迪介绍，再次释放这些木马“小弟”后，木马会将创建时间篡改为手机系统相同的创建时间，以掩人耳目。
　　长老木马有着极强远程控制手段。不但支持网络和短信两种远控模式，并且带有十几个可配置参数，甚至可对某台手机单独控制，将手机彻底沦为肉鸡。为了更好的控制这些配置参数，木马还会启动一项服务专门监控系统时间，如果重启手机后Wi-Fi开启，将立即更新配置文件，如果没有Wi-Fi或者超过一天没有重启，会在晚上22点到零时的整点，尝试通过上网流量的方式进行更新。更新的同时，还会将隐私信息上传至指定的服务器。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01ebfd6e.jpg?size=370x229"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　手机一旦中招，手机桌面的小组件就就会在黑客云端控制下，在指定时间弹广告。同时手机号、IMEI，用户所在位置等信息被窃取，手机浏览器的主页还会被恶意篡改。甚至后台还可被偷偷安装其他推广应用或者恶意软件，连短信也可以被拦截。
　　从2011年末至今，安卓长老木马至少出现了十几个变种，感染方式也在不断变化，出现在中兴、三星、HTC等多款手机的第三方ROM系统中。申迪指出，这是360手机安全中心发现的又一个在手机系统启动阶段重新释放衍生APK程序的系统预置木马。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01737bcc90e8f44c44.jpg?size=300x225"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　不过与不死木马不同之处在于，该木马没有修改启动脚本，而是选择直接替换系统进程达到自启动的目的，木马还包含强大的云端控制机制，有很强的扩展能力，被植入此木马的手机存在不可预估的高危风险。“同时我们也注意到rom中木马逐渐增多的趋势，我们将会继续关注此类顽固木马并提供相应的解决方案。”申迪表示。
　　目前，360手机安全中心紧急发布了安卓长老木马专杀工具，可将其彻底查杀。360手机安全专家建议，要从正规渠道购买手机，同时在刷第三方ROM时更要第一时间安装360手机卫士，彻底查杀木马病毒。
　　2014年6月：长老木马二代专盗手机20余项密码 360独家查杀
　　2014年6月，360手机安全中心再次独家截获“长老木马”二代，这是首个采用解密数据库方式窃取聊天记录的“长老木马”变种，同时新变种俨然成为“偷窥狂”，窃取手机里包括短信、电话号码、位置、日程、Wi-Fi、浏览器等多达20余项账号及密码，甚至可根据这些指令窃取手机环境音、限制用户拨打电话。360手机安全中心对此独家发布了专杀工具，如果发现上网流量异常消耗，可通过长老木马专杀工具进行查杀。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01ecd76e.jpg?size=213x378"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　360手机安全专家介绍，“长老木马”是一款长时间潜伏在手机预装ROM中的手机木马，从2011年至今已衍生出十几个变种。今年3月，360手机安全中心发现了“长老木马”一代，窃取用户隐私信息，篡改手机浏览器主页、偷偷安装其他未知手机应用，甚至还可根据窃取的手机号单独控制某一款手机。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01fdbfaff37efc682e.png?size=498x291"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　而二代变种性质更为恶劣，据360手机安全中心发布的“长老木马”二代分析报告介绍，该木马感染用户手机之后，就会一直在后台默默地运行，窃取用户手机中存储的WIFI密码、浏览器中的密码以及短信、通话记录等多种信息发送给木马作者，甚至还会偷录手机周围环境音，限制用户拨打电话。它能隐藏自己的图标，使得用户难以发觉，即使用户重启手机或者重置手机，木马依旧存在于用户手机中。
　　据了解，“长老木马”二代在替换系统文件/system/bin/debuggerd之前首先会进行备份，避免手机系统文件缺失，手机运行异常被用户发觉，确保恶意程序运行的隐秘性。木马还会自动备份安装文件，并且每隔30秒检查一次木马程序是否存在，一旦发现木马被删除，备份文件就会重新自动安装，继续执行恶意行为，这种“进程守护”机制和之前发现的“恶魔守护者木马”是一样的。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01fa2e5e9faf876574.jpg?size=300x200"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　360手机安全专家指出，木马作者通过短信向中招手机发送指令，该木马会监视手机收件箱中的短信，一旦收到指令，就会执行相应的恶意行为，比如将窃取的微信、QQ聊天记录以及WIFI密码、浏览器数据等通过短信、邮箱或FTP等方式发送出去。专家分析，目前“长老木马”二代能够接收的远程指令多达31个，可自由控制并窃取20多项账号密码信息。甚至可根据这些指令窃取手机环境音、限制用户拨打电话。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" BORDER="0" src="/blog7style/images/common/sg_trans.gif" real_src ="/t010cf6df779c74bd0c.png?size=319x378"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
　　360手机安全工程师董清介绍，安卓手机系统的一些关键信息，比如WIFI密码、浏览器中保存的密码、访问网页的历史记录等等，都是明文存储在系统中。微信、手机QQ等应用的聊天记录虽然经过加密，但加密算法也很简单，一旦用户中了“长老木马”二代，这些隐私信息很容易就被盗取。
　　360手机安全专家强烈建议用户不要将敏感信息，如银行卡账号、密码等，通过微信、手机QQ等方式发送，一定要从正规渠道下载手机软件，安装360手机卫士对手机进行全面的防护。
#警方提示#【谨防手机木马病毒
蜀黍教你四招来预防】近日，警方发现一款叫“鬼铃”的手机木马有大面积感染趋势，该木马通过偷发及上传手机短信等恶意行为盗取用户隐私信息，威胁资金安全，且不易卸载。那么，面对手机木马，该肿么破？蜀黍准备了预防攻略↓↓
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/tec4c1bec.jpg"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
#网络安全小贴士#【“网络支付，关注安全”建议】提防虚假客服；关注支付安全；身份验证防诈骗；慎扫二维码；慎用公用wifi；警惕低价陷阱；防范手机木马；严守个人信息。
<img STYLE="BorDer-BoTToM: BorDer-LeFT: MArGin: DispLAY: VerTiCAL-ALiGn: BorDer-Top: BorDer-riGHT: medium none" src="/blog7style/images/common/sg_trans.gif" real_src ="/t01fd3e45e84cfefd2f.jpg?size=440x779"
ALT="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生"
TITLE="揭秘手机里病毒木马都是怎么发现的&&长老木马前世今生" />
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}