可疑文件、文件夹、进程监控查杀脚本

于 2024-10-09 22:24:52 发布
阅读量88 收藏
点赞数 1
文章标签: 脚本 挖矿木马 监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ppandaer/article/details/142798107
版权 
#!/bin/bash

# 可疑文件列表
SUSPICIOUS_FILES=(
    "/root/.dragosteftp"
    "/bin/CZEdY7oP"
    "/data/rcu_scheb"
    "/dev/shm/netmonxd"
    "/usr/bin/mslog/.cfg/rcu_scheb"
    "/tmp/.cfg"
    "/var/tmp/logxwatch"
    "/tmp/taskxclean"
    "/tmp/*x*"
    "/bin/nOabp95U"
    "/bin/CZEdY7oP"
    "/usr/bin/udeb"
    "/etc/security/dev_/dev_b573d3af"
    "/usr/lib/x86_64-linux-gnu/e2fsprogs/e2scrub_all_cron"
    "/sbin/e2scrub_all"
    "/usr/bin/35b0083b"
)

# 可疑目录列表
SUSPICIOUS_DIRS=(
    "/root/.cfg"
    "/dev/shm/.cfg"
    "/dev/shm/*x*"
    "/tmp/.cfg"
    "/usr/bin/mslog/.cfg"
    "/etc/cron.*"
)

# 可疑进程字段列表
SUSPICIOUS_PROC_FIELDS=(
    "/root/.cfg"
    "/dev/shm"
    "/var/tmp"
    "/tmp"
    "mining"
    "crypto"
    "miner"
    "^/[^/]*[a-zA-Z0-9]{8}$"
)

# 获取所有进程及其command信息
get_all_procs() {
    ps -eo pid,cmd=
}

# 处理可疑进程(已更新)
process_suspicious_procs() {
    all_procs=$(get_all_procs)
    match_pids=()
    while IFS= read -r line; do
        pid=$(echo $line | awk '{print $1}')
        cmd=$(echo $line | awk '{print $2}')
        
        for field in "${SUSPICIOUS_PROC_FIELDS[@]}"; do
            if [[ $cmd =~ $field ]]; then
                match_pids+=("$pid")
                echo "$(date '+%Y-%m-%d %H:%M:%S') - Matched Command with suspicious field '$field': $cmd, PID: $pid"
                break
            fi
        done
    done <<< "$all_procs"

    if [ ${#match_pids[@]} -gt 0 ]; then
        echo "$(date '+%Y-%m-%d %H:%M:%S') - Found processes with suspicious fields: ${match_pids[*]}"
        for pid in "${match_pids[@]}"; do
            COMMAND_INFO=$(ps -p $pid -o command=)
            if kill -0 $pid 2>/dev/null; then
                sudo kill -9 $pid
                if [ $? -eq 0 ]; then
                    echo "$(date '+%Y-%m-%d %H:%M:%S') - Killed process with PID: $pid, Command: $COMMAND_INFO"
                else
                    echo "$(date '+%Y-%m-%d %H:%M:%S') - Failed to kill process with PID: $pid, Command: $COMMAND_INFO"
                fi
            else
                echo "$(date '+%Y-%m-%d %H:%M:%S') - Process with PID: $pid does not exist, Command: $COMMAND_INFO"
            fi
        done
    fi
}
# 处理可疑文件
process_suspicious_files() {
    for file in "${SUSPICIOUS_FILES[@]}"; do
        if [ -f "$file" ]; then
            echo "$(date '+%Y-%m-%d %H:%M:%S') - Found suspicious file: $file"
            sudo rm -f "$file"
            if [ $? -eq 0 ]; then
                echo "$(date '+%Y-%m-%d %H:%M:%S') - Deleted suspicious file: $file"
            else
                echo "$(date '+%Y-%m-%d %H:%M:%S') - Failed to delete suspicious file: $file"
            fi
        fi
    done
}

# 处理可疑目录
process_suspicious_dirs() {
    for dir in "${SUSPICIOUS_DIRS[@]}"; do
        if [ -d "$dir" ]; then
            echo "$(date '+%Y-%m-%d %H:%M:%S') - Found suspicious directory: $dir"
            sudo rm -rf "$dir"
            if [ $? -eq 0 ]; then
                echo "$(date '+%Y-%m-%d %H:%M:%S') - Deleted suspicious directory: $dir"
            else
                echo "$(date '+%Y-%m-%d %H:%M:%S') - Failed to delete suspicious directory: $dir"
            fi
        fi
    done
}

# 主循环
while true; do
    # 快速查杀可疑进程
    process_suspicious_procs

    # 较慢频率查杀可疑文件
    process_suspicious_files

    # 较慢频率查杀可疑目录
    process_suspicious_dirs

    # 设置不同任务的执行间隔
    sleep 0.5  # 进程查杀间隔
    sleep 1    # 文件和目录查杀间隔
done
之群害马
关注
【FakeFolder病毒——文件夹变成可疑exe文件
weixin_41178055的博客
07-12 524
FakeFolder病毒——文件夹变成可疑exe文件
shchangenotifyregister 监视子文件夹文件改变_真假文件夹?FakeFolder病毒再次捣乱企业内网...
weixin_39713841的博客
12-04 288
一、背景概述近期,深信服安全团队接到客户反馈,内网中出现了大量伪造成文件夹可疑exe文件,删掉以后仍会反复。经深信服安全团队分析发现,这是一个蠕虫病毒FakeFolder,该病毒会通过U盘及共享文件夹进行传播,一旦主机感染了该病毒,文件系统中的文件夹都会被隐藏,取而代之的是一个伪装的病毒文件,当用户运行病毒文件时,也会弹出对应文件夹的窗口,因此不易被察觉;只要系统中还残留着一个FakeFolde...
手动查杀病毒的第一课
知其所以然
09-28 6073
今天看了下Windows下手动查杀病毒的教程。将心得写下来,以便后面复习使用。 首先,手动查杀病毒的步骤如下:  1,查内存,排查可疑进程。目的是为了将病毒从内存中干掉;  2,查启动项,删除病毒启动项。  3,通过病毒启动项判断病毒所在位置,从根本上删除病毒。  4,修复系统。常见的病毒会对系统部分损坏。               当我们的计算机感染病毒,或许我们无法启动任务管理
Linux应急响应思路和技巧:进程分析篇
WangsuSecurity的博客
05-27 1202
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
恶意文件分类
swordheart的博客
08-23 3860
后门程序就是留在计算机系统中,供某位特殊使用者通过某种特殊方式控制计算机系统的途径。后门程序,跟我们通常所说的"木马"有联系也有区别。联系在于:都是隐藏在用户系统中向外发送信息,而且本身具有一定权限,以便远程机器对本机的控制。区别在于:木马是一个完整的软件,而后门则体积较小且功能都很单一。后门程序类似于特洛依木马(简称"木马"),其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。后门程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其它电脑。
Linux查杀木马经验总结
weixin_33854644的博客
11-12 474
前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先...
内存马介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1041
先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
Linux查杀***经验总结
weixin_34417200的博客
05-23 253
前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止...
windows系统各进程详解
LiangSton的专栏
01-12 2772
系统各进程详解           下面列出的都是操作系统的进程,而不是程序的进程,记住这些进程并了解他们的工作原理,用途,能让我们对系统进程的理解提升一个级别。       system Idle Pr
[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及蠕虫解析
杨秀璋的专栏
03-01 8692
作者前文采用Github资源实现永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
热门推荐
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
网络安全之应急响应
赤赤三的博客
03-30 1558
应急响应(是有一整套流程的): 原理: 一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施 阶段: 准备->启动->抑制->根除->恢复->跟进 准备应急工具,相应的应急文档、合同、保密协议,开会沟通 启动:讨论这个是怎么进来的 抑制:切断受感染主机,拔网线,网络隔离 根除:查找病毒木马,分析日志,溯源,打补丁 恢复:业务恢复 跟进:监控,看是否还会进来 详细流程: 准备阶段: ..
网络对抗技术-Exp4-恶意代码分析 20181314
weixin_46014245的博客
04-07 523
一、原理与实践说明 1.实践目标 2.实践内容概述 3.基础问题回答 二、实践过程记录 任务一:使用schtasks指令监控系统 任务二:使用sysmon工具监控系统 任务三:恶意软件分析 使用VirusTotal分析恶意软件 使用PEiD分析恶意软件 使用PE Explorer分析恶意软件 使用Process Monitor分析恶意软件 使用Process Explorer分析恶意软件 使用systracer分析恶意软件 使用Wireshark分析恶意软件 三、实验遇到的问题及解决方法 四、实验总结与体会
五次全国1%抽样个人微观数据(最新整理)
最新发布
10-10
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/142833919 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理
户外储能电源2Kw(最大3Kw)双向逆变器电路资料 本方案整体特性如下: 一.双向软开关DC-DC,高效率,充电时具有PFC和
10-10
户外储能电源2Kw(最大3Kw)双向逆变器电路资料。 本方案整体特性如下: 一.双向软开关DC-DC,高效率,充电时具有PFC和UPS功能,检测MOS内阻压降实行过流保护,最大充电功率:20A 1100W; 二.控制部分:采用两颗M0+32位MCU(BAT32G139L048系列)其一:负责主逆变控制和市电PFC及UPS功能控制,其二:负责双向DC-DC控制及上位机通讯,逆变控制MCU采用单极性 单极性倍频SPWM调制方式,效率高,干扰小,输出电压采电压、电流双环控制,动态响应快、负载适应能力强,全数字控制。 上电自检功能:通过单片机轮流发信号并检测反馈信息的方式来判断驱动回路、功率回路是否存在故障,并发出报警用; 三.功率部分:H桥IGBT采用650V30A 50A大电流管子; 输入电压:44~58VDC(按需求调整电压)输出电压:220 230VAC±2% 电子资料包含原理图+PCB设计文件(Altium软件),BOM,变压器参数说明
主动配电网两阶段鲁棒恢复matlab代码 参考文献IEEE TRANSACTIONS ON POWER SYSTEMSRobu
10-10
主动配电网两阶段鲁棒恢复matlab代码 参考文献IEEE TRANSACTIONS ON POWER SYSTEMS《Robust Restoration Method for Active Distribution Networks》 提出了一种主动配电网两阶段自适应鲁棒恢复优化模型,涉及不确定DG出力和负荷大小。 第一阶段为确定故障恢复策略,第二阶段则寻找最恶劣场景。 采用C&CG方法进行求解。 这份资源就是对该文献的详细解读及部分内容的matlab代码复现。 主要内容: 1.详细的文献分析及代码解读文档 2.确定性故障恢复方法的matlab代码 3.两阶段鲁棒故障恢复方法的matlab代码 4.使用蒙特卡洛模拟法进行N-1故障扫描,以确定各方法的性能。
计算机网络期末复习题.docx
10-10
计算机网络期末复习
SpringBoot+Vue高校会议室预订管理系统答辩PPT.pptx
10-10
计算机毕业设计答辩PPT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

之群害马

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值