2024年运维最新记一次Linux服务器上查杀木马经历(2),2024年最新记一次字节跳动Linux运维社招面试

最新推荐文章于 2024-09-01 17:55:30 发布
最新推荐文章于 2024-09-01 17:55:30 发布
阅读量611 收藏 25
点赞数 28
分类专栏: 程序员 文章标签: 运维 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79054215/article/details/138454134
版权
本文记录了一次Linux服务器疑似被挂马的排查过程,包括通过NetHogs监控发现异常进程,安装ClamAV进行查杀,并详细介绍了ClamAV的安装配置和升级病毒库的步骤。此外,还分享了个人的IT行业经验和学习资源推荐。
摘要由CSDN通过智能技术生成

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以点击这里获取!

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

案例分析

我连接到服务器后,运行ifconfig命令,检查网卡的发送、接收数据情况,如下所示,网卡eth0累计发送了12.3TB的数据。这明显不太正常,显然有应用程序一直在往外发包。我特意对比了另外一台正常的服务器后,验证了这个事实。

那么是那个应用程序在一直往外发送包呢? 我首先检查了Linux系统日志,发现了一些错误、告警信息。但是作用不大。于是在服务器上安装了NetHogs应用程序,实时监控Linux进程的网络带宽占用情况。

监控过程确实发现了一些异常情况的进程:

1:/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys 一直在往外发包

2:/usr/bin/bsd-port/agent 一直在往外发包。

3:./cmys一直在往外发包

4:不时出现下面大量异常进程

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

[root@LNX17 /]# ps -ef | grep getty

root      2012     1  0 May22 tty2     00:00:00 /sbin/mingetty /dev/tty2

root      2014     1  0 May22 tty3     00:00:00 /sbin/mingetty /dev/tty3

root      2018     1  0 May22 tty4     00:00:00 /sbin/mingetty /dev/tty4

root      2020     1  0 May22 tty5     00:00:00 /sbin/mingetty /dev/tty5

root      2022     1  0 May22 tty6     00:00:00 /sbin/mingetty /dev/tty6

root     13835 32735  0 01:02 pts/0    00:00:00 grep getty

[root@LNX17 tmp]# ll /usr/bin/bsd-port/

total 2324

-rwxr-xr-x. 1 root root 1135000 Jul 17 08:28 agent

-rwxr-xr-x. 1 root root       4 Jul 17 08:28 agent.conf

-rw-r--r--. 1 root root      27 Jul 21 12:42 cmd.n

-rw-r--r--. 1 root root      73 Aug 21 21:30 conf.n

-rwxr-xr-x. 1 root root 1223123 Aug 21 04:08 getty

-rwxr-xr-x. 1 root root       5 Aug 21 04:08 getty.lock

搜索/usr/bin/bsd-port/agent等进程相关资料,发现很多关于木马、后门方面的文章,严重怀疑服务器被挂马了。手工杀进程或手工删除/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys文件,发现不过一会儿,又会出现相同的进程和文件。于是下载安装了AVG ANTIVIRUS FREE - FOR LINUX这款杀毒软件,但是启动服务失败,不想折腾,于是安装了ClamAV 杀毒软件

ClamAV介绍

ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除,至多删除文件。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。另外它主要是来防护一些WINDOWS病毒和木马程序。另外,这是一个面向服务端的软件。

下载ClamAV安装包

ClamAV的官方下载地址为http://www.clamav.net/download.html 我直接使用wget下载源码安装文件。

[root@LNX17 tmp]# wget http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

--2015-08-21 21:58:36--  http://nchc.dl.sourceforge.net/project/clamav/clamav/0.97.6/clamav-0.97.6.tar.gz

Resolving nchc.dl.sourceforge.net... 211.79.60.17, 2001:e10:ffff:1f02::17

Connecting to nchc.dl.sourceforge.net|211.79.60.17|:80... connected.

HTTP
最低0.47元/天 解锁文章
2301_79054215
关注
  • 28
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux服务器CPU占用50%,top/htop/ps却看不到异常进程?本文带你彻底杀毒
weixin_43693967的博客
11-23 4641
htop发现前32个核全被占满了,但是却找不到对应进程号发现CPU占用3143.28%,因为是32核,平均每核就是接近100%
linux服务器安装杀毒软件
fanda-star
11-25 5921
1、杀毒软件Clam AV 简介: Clam AntiVirus是一个类UNIX系统上使用的反病毒软件包。主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是无法清除。ClamAV可以工作很多的平台上,但是有少数无法支持,这就要取决您所使用的平台的流行程度了。 2、安装,采用rpm安装方式。 ClamAV的官方下载地址:http://www.clamav.net/download.html 注:
六款最佳Linux系统防病毒软件(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
07-01 4071
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
linux服务器杀毒软件命令,悬镜Linux服务器卫士-木马查杀详解
weixin_35742845的博客
04-29 735
原标题:悬镜Linux服务器卫士-木马查杀详解今天悬镜小编详细给大家讲解下悬镜管家中-木马查杀功能的使用情况。对于WebShell的理解,“Web”显然需要服务器开放Web服务,“Shell”取得对服务器某种程度上操作权限。WebShell常常被称为匿名用户(入侵者)通过Web服务端口对Web服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现,也有人称之为网站后门工具。WebShell...
Linux也有全功能杀毒软件啦!
bingyu1024的博客
03-14 758
它允许管理员控制正在运行的进程或可执行的程序是否可以使用网络,只有管理员允许使用网络的进程可以进行正常的网络通讯,被禁止的程序和进程将不能够访问网络。并为用户提供快速查杀,全盘查杀,自定义查杀等多种查杀方式。瑞星杀毒软件Linux全功能版是瑞星虚拟化系统安全软件管理中心的子模块,通过瑞星虚拟化系统安全软件管理中心可以对全网内的虚拟化和非虚拟化安全终端进行统一的管理和策略配置,帮助管理员实时了解虚拟化系统网络内的所有计算机的病毒感染情况,并可以及时处理全网内的安全防护问题。适用的操作系统:Redhat6、
Linux杀毒简要说明
weixin_44487337的博客
08-01 905
2、查看进程对应的服务状态:systemctl status PID。3、查看病毒服务状态:systemctl status 服务。1、先使用命令 top 查看占用率高的进程PID。通过打印出的信息定位病毒路径与病毒对应的守护程序。通过打印出的信息定位病毒路径与病毒对应的守护程序。5、kill掉病毒程序与病毒对应的守护程序。systemctl status 服务。7、重启服务器,查看病毒是否存在。4、查看守护程序对应路径。6、删除所有的病毒源文件。
linux-宝塔Linux面板简单好用的服务器运维面板
08-13
Linux开发-其它】:宝塔Linux面板是针对服务器运维人员设计的一款高效、便捷的管理工具,它使得在Linux环境中进行网站部署、数据库管理、文件处理等任务变得更加简单直观。这款面板提供了图形化的操作界面,使得...
实施运维工程师面试
张晨光老师的播客
04-29 515
对于客户提出的修改意见,我们做实施的人员来说应该有自己的方案,当使用者之间的意见不一致时,我们应当引导他们内部之间的意见统一,和客户经过沟通或确认之后,找到切实可行的方案,双方确认并可达到共识。无论什么样的工作,必须干一行爱一行,脚踏实地,用心去钻研,只有真正有能力,只有有思想和技术,终会出头,接受不能接受的,改变自己能改变的。如果还是不行,可能是中病毒了,需要查杀病毒。4. 局域网内,一台机器不能上网,而其他机器可以,所有的机器都安装的winxp系统,而且电脑都可以访问局域网内电脑,是分析原因?
Linux下手动查杀木马过程
吕巡鑫
03-09 768
文章目录1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)1.1Rootkit概述1.2实战-通过rootkit隐蔽行踪1、安装adore-ng2、测试,查看帮助:实战1:演示ava提权功能1、准备测试环境2、创建一个普通用户3、通过ava命令提权,让普通用户xinsz08可以获得root权限4、使用r命令选项提权5、在别一个终端上查看,运行此vim...
【愚公系列】202402月 《网络安全应急管理与技术实践》 006-网络安全应急技术与实践(自查技术)
热门推荐
时光隧道
02-06 6万+
网络安全应急技术与实践是指在网络安全事件发生时,及时、有效地采取应对措施,限制损失并恢复正常运行的能力。自查技术是指通过对系统进行主动扫描和检测,发现并修复潜在的安全漏洞和风险。以下内容属于固定流程,来源于书本整理。
5款最佳的免费Linux杀毒软件
01-09
Linux的安全性毋庸置疑。很多Linux新手都这样认为,但是Linux同样也有可能遭受病毒的侵袭。 首先,Linux比其它操作系统更稳定更安全。理论上Linux是有可能被病毒侵害的。但实际上 Linux机器几乎不可能遭受病毒的攻击。这里的问题是为什么要为Linux准备防病毒软件,为了更好理解,主要有如下理由: Linux平台安装杀毒软件的原因: 1.从Linux平台扫描Windows驱动2.通过网络扫描Windows工作站3.在Linux服务器中扫描接收和发送的邮件4.扫描发送给其它机器的重要文件 下面向你推荐最好的免费的Linux平台杀毒软件 1、ClamAV 杀毒 ClamAV 杀毒是L
Linux服务器中了病毒后的清理方法
weixin_45625174的博客
05-15 1266
" -ls 和 find /usr/sbin/ -iname ".
Linux杀毒软件有哪些?
贺浦力特的博客
04-08 4583
linux 杀毒软件
Linux系列:Linux杀毒软件有哪些?
weixin_54626591的博客
11-29 2408
Linux杀毒软件有哪些?
十大Linux最佳防病毒软件
wuli1024的博客
01-24 2507
今天我给大家分享的文章是关于最好的Linux防病毒软件介绍。或许你会有所疑问:如果Linux如此安全,为什么我们还需要安装防病毒软件呢?
Linux服务器安装杀毒软件ClamAV
qq_29768197的博客
03-29 3690
Linux服务器安装杀毒软件ClamAV
解决阿里云主机受到攻击的问题 2
hw1287789687的专栏
01-10 195
解决阿里云主机受到攻击的问题 详细解决方案 在/etc/profile 文件中添加: sed -i 's/^\([^#].*scrypt\)/# \1/' /etc/rc.local sed -i 's/^\(\/mnt\/linsx\)/# \1/' /etc/rc.local sed -i 's/^\(\/tmp\/\)/# \1/' /etc/rc.local rm -fr /...
Jenkins配置使用LDAP的用户和密码登录
最新发布
qq_42750608的博客
09-01 811
Jenkins配置使用LDAP的用户和密码登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值