DDoS木马删除

最新推荐文章于 2024-08-04 08:15:00 发布
最新推荐文章于 2024-08-04 08:15:00 发布
阅读量4.6k 收藏 5
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ACanswer/article/details/82500020
版权
本文记录了一次针对DDoS攻击的服务器木马清理过程,包括检测命令是否被替换、查找和删除木马源文件、清理crontab计划任务和开机启动项中的木马,以及检查和重启服务器确保木马已被彻底移除。
摘要由CSDN通过智能技术生成

最近云服务器报错,查看是被DDoS攻击了,经过一些努力,终于完成删除,现总结如下。

目录

一、检测命令是否被更换

二、查看木马源文件

 三、删除

3.1 在crontab计划任务中删除

3.2 删除计划任务文件 

3.3 删除libudev4.so木马源文件

四、删除开机启动项中的木马文件

4.1 删除开机启动木马文件

4.2 删除启动脚本中木马文件

五、检查和重启

5.1 查看是否有木马进程运行

5.2 重启

参考

一、检测命令是否被更换

安装rkhunter,此软件可以检测命令是否被DDoS恶意替换。

apt-get rkhunter    #安装

rkhunter --update    #更新

rkhunter -C    #检测

然而并没有发现命令被替换。看来这个杀手不太冷,哈哈哈。

注:如果发现命令被替换用yum -y reinstall XXXX 重新安装,XXXX为命令的组名。

二、查看木马源文件

用top命令查看当前进程,发现恶意进程名为一串十位随机字母。kill进程并没有作用。

ll /proc/XXXX (XXXX为进程ID)查看进程信息,可以看到进程路径。

将木马文件转码并保存到自定义目录

strings /进程路径 > /work/1.log #将病毒转码保存在自定义路径下

 在windows上运行以下命令(注意是windows上)获取把服务器上的病毒文件

scp root@IP地址:/work/1.log .

用记事本打开后如下图,发现DDoS将病毒文件gcc.sh放到了crontab计划任务中。

打开crontab如图,发现最下面多了两个任务gcc.sh、gcc4.sh

打开gcc4.sh如图,可见/lib/libudev4.so和/lib/libudev4.so.6为木马文件。

最低0.47元/天 解锁文章
ACanswer
关注
如何防护DDOS攻击策略
08-06 1157
DDoS是目前最凶猛、最难防御的网络攻击之一。现实情况是,这个世界级难题还没有完美的、彻底的解决办法,但采取适当的措施以降低攻击带来的影响、减少损失是十分必要的。将DDoS防御作为整体安全策略的重要部分来考虑,防御DDoS攻击与防数据泄露、防恶意植入、反病毒保护等安全措施同样不可或缺。 不得不得提的是,防御DDoS攻击是一个系统的工程。防御DDoS应该根据攻击流量大小等...
十个方法完美解决DDoS攻击
XiaoYiLiangZai的博客
04-01 5085
可以说,DDoS是目前最凶猛、最难防御的网络攻击之一。现实情况是,这个世界级难题还没有完美的、彻底的解决办法,但采取适当的措施以降低攻击带来的影响、减少损失是十分必要的。将DDoS防御作为整体安全策略的重要部分来考虑,防御DDoS攻击与防数据泄露、防恶意植入、反病毒保护等安全措施同样不可或缺。 首先,防御DDoS攻击是一个系统化的工程,仅仅依靠某种操作、某个服务就实现全垒打很傻很天真,就如同预防流行感冒一样,既要穿着保暖,又要注意饮食,还要加强锻炼。根据攻击流量大小等实际情况灵活应对,采取多种组合,定制策
一次被入侵和删除木马程序的经历(转)
极客海哥
11-21 3413
首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜来的,那个时候喝着咖啡感觉像个自由人) 木马名称 Linux.BackDoor.Gates.5 http://forum.antichat.ru/threads/413337/ 首先是下午14点左右有几台服务器现流量超高,平时只有几百M的流量,那时候发现流量上G了,达到这个量第一感觉就是遭受了DDOS流量攻击
什么是DDoS攻击DDoS攻击的原理是什么?(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
08-04 1万+
2022年游戏公司DDoS攻击事件:在2022年,某知名游戏公司的服务器受到了DDoS攻击的严重影响,导致游戏服务中断,给用户带来了极大的不便。近年来,随着网络技术的普及和攻击工具的易得性,DDoS攻击的频率和规模都在不断上升,给企业和个人带来了严重的损失。第三次握手ACK(即确认字符(Acknowledge character)包):客户端收到服务器的SYN-ACK数据包后,会发送一个带有ACK(确认)标志的数据包给服务器,确认收到服务器的SYN-ACK数据包。”的小纸条给网站服务器。
Linux DDoS 木马再度来袭
u014389734的博客
12-24 582
而且,该木马还能自我更新、自我删除、终止自己的进程、ping、从C&C服务器下载和运行文件。Linux是过去一个月以来最热门的木马攻击平台,在最近 30 天内,安全研究人员已经发现、分析和曝光了其它五个Linux木马: Rex、PNScan、Mirai、 LuaBot和Linux.BackDoor.Irc。在感染过程中,该木马也会扫描它的旧版本,并会关闭旧版本然后安装一个新的。当该木马运行起来以后会进行初始化,它会启动两个进程,一个用于与C&C(控制)服务器通讯,另外一个用于确保木马的父进程一直运行。
Unix.Trojan.DDoS_XOR-1木马症状及清理办法
weixin_34228662的博客
08-25 853
父进程名称: crond 进程名称: bash 进程路径: /usr/bin/bash 进程id: 20,517 命令行参数: /bin/sh /etc/cron.hourly/cron.sh 事件说明: XORDDoS木马入侵后,会在Linux的定时任务中植入恶意代码,定时启动后门程序,当发现该可疑进程时,很可能您的机器已经处于被入侵或者恶意发包的状态,建议您及时清理contab以及自启动项。帮...
Linux DDOS病毒手动查杀
一叶知秋
11-30 1255
1、 执行指令:rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab; 删除 /etc/cron.hourly/gcc.sh 2、查看进程:top,找所有无序10位随机名称的进程PID 3、对所有病毒进程执行指令:kill -STOP {PID} 4、查找并删除以下文件夹中的病毒文件(文件名称也是无序10位随机名称) /etc/init.d...
linux shell ddos木马,利用Shell 脚本解决DDOS攻击问题
weixin_42190623的博客
05-15 276
思路:主要利用 awk ,if结构,sort,uniq#!/bin/bashFilePath="access.log"awk '{print $1}' $FilePath | sort -rn | uniq -c >ip_count.logcat ip_count.log | while read text ####读取文件内容,以行为单位doecho $textcount=`echo $...
记录阿里云服务器清理DDoS木马病毒<paraiso.x86>
闫小甲的专栏
08-08 1325
"paraiso.x86" 可能是指一个特定的软件、项目或代码库。为了预防未来的攻击,加强系统安全措施,如定期更新系统和软件、使用强密码、限制远程访问等。2、 相同IP,使用云安全组直接封禁(非ECS使用防火墙限制不必要的网络连接。可以使用iptables命令来配置防火墙规则,只允许必要的网络连接)登录阿里云,安全中心,发现服务器被攻击,密码泄露(密码设置太简单,已升级强密码)发现大量与未知IP地址建立的连接,存在DDoS木马病毒。3、删文件,检查进程并杀掉大量僵尸进程。
学校网站安全防护:应对DDoS与PHP木马策略
该文件是关于学校网站的早期形态及其遭遇的安全问题,特别是DDoS攻击和PHP木马入侵,以及相应的紧急解决方案。其中包含了PHP代码示例,如何连接数据库和创建表格,以及显示数据的方法。此外,文件还讨论了其他安全...
DDOS学习+网络钓鱼+验证码攻击
weixin_55648772的博客
12-20 3322
Dos攻击 Dos(Denial of service)即拒绝服务。Dos攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地将攻击对象资源耗尽。
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马DDOS病毒
weixin_54707168的博客
02-22 670
【安全攻防系列】教你如何 ssh暴力破解、捕捉短连接、清理挖矿病毒、盖茨木马DDOS病毒
ddos木马取证
qq_42671480的博客
06-27 494
ddos木马分析 在流量监测中,发现一台linux服务器不断向外网发起连接,域名为可疑c2服务器。于是针对此服务器开始排查。 在网络连接中发现恶意外联对应的进程为7856 查看进程发现两个为tflinuxtd的进程 在Linux文件中找到了恶意启动项 查杀方法 kill -9 7854 kill -9 7856 rm /etc/tflinuxtd 删除/etc/rc.local中的 “/e...
DDoS木马-Tsunami家族样本分析
人饭子的博客
11-06 574
#sidebar { position: absolute; top: 0; left: 0; bottom: 0; width: 250px; padding: 0; margin: 0; overflow: auto } #page-container { position: absolute; top: 0; left: 0; margin: 0; padding: 0; bord...
记一次清除ddos肉鸡的经历
gaojie314的专栏
05-18 1万+
其实这个事情发生在2014年10月份的时候,那个时候就想把经历写成博客来着,但是当时任务过多搁置了,当然也不排除我懒的原因吧! 最近也是因为在微云发现我当时保存的肉鸡样本,才想起现在来写点什么, 目前只能凭借依稀记忆和样本来写这篇博客啦。 样本如下: 好了begin 。。。 是这样的,公司内网有一题台服务器,一个星期到某个时段公司所有机器断网上不去网的情况,
阿里云centos7 服务器XorDDoS木马查杀
07-09 4557
一、问题描述2018年6月份,阿里云搞活动大促销,本人花了298元购买了一台阿里云centos 服务器(3年),期间部署了反向代理软件frpc,用来打通内网WEB服务等场景的应用,期间没做什么特别的防护设置,6月下旬以来,邮箱一直提示: 通过阿里云管理控制台查看,服务器被IP107.179.35.251(美国加利福尼亚州)SSH暴力破解了,并且存在异常的远程登录记录。二、异常现象初定位通过Xshe...
《Centos系统——DDoS攻击
weixin_45842014的博客
10-14 961
目录1. DDoS介绍2. 如何应对 DDoS 攻击?3. Shell解决doss攻击方案 1. DDoS介绍 1. DDoS攻击是Distributed Denial of Service的缩写,即不法黑客组织通过控制服务器等资源,发动对包括国家骨干网络、重要网络设施、政企或个人网站在内的互联网上任一目标的攻击,致使目标服务器断网,最终停止提供服务。 2. 分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经现了很多次,导致很多的大型网站都现了无法
Linux下DDOS攻击木马分析报告
weixin_33725239的博客
09-26 617
本文讲的是Linux下DDOS攻击木马分析报告,在最近的一次给用户做服务器系统安全检测的过程中发现一台服务器,频繁向外发包,网页打开缓慢,上服务器提取了样本的情况分析如下: 1. 样本基本信息 2. 样本概述 样本解密数据用以配置,安装各种不同的启动项,远程连接ip:www.linux#cc:6001(由于文件路径不同所连接的端口不一样,但是ip不变...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值