记一次阿里云木马排查过程

最新推荐文章于 2024-05-21 10:13:16 发布
最新推荐文章于 2024-05-21 10:13:16 发布
阅读量4.4k 收藏 7
点赞数 1
分类专栏: 安全 文章标签: 木马 阿里云 clamav 安全 扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamer2020/article/details/98652888
版权

问题描述

接到阿里云报警邮件,说是一台ECS有恶意进程。查看阿里云的安全详情,发现有恶意进程(云查杀)-自变异木马:
在这里插入图片描述
登录到服务器上检查/bin目录,发现该文件确实不对,大小变成的1.1M,类似的还有netstat。如下图:
在这里插入图片描述
正常ubuntu系统下的ps才96K,netstat大小为117K,上述命令文件被恶意窜改了。

检查

根据手动分析的结果发现,有多处系统文件被感染。通过lastlog等命令查看系统登录及操作,并未发现有被入侵的痕迹。
分析启动项,发现多出了如下文件:

/etc/rc1.d/S97VsystemsshMdt
/etc/rc2.d/S97VsystemsshMdt
/etc/rc3.d/S97VsystemsshMdt
/etc/rc4.d/S97VsystemsshMdt
/etc/rc5.d/S97VsystemsshMdt
/etc/rc1.d/S99selinux
/etc/rc2.d/S99selinux
/etc/rc3.d/S99selinux
/etc/rc4.d/S99selinux
/etc/rc5.d/S99selinux
</
最低0.47元/天 解锁文章
无名大盗
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一次入侵Linux服务器和删除木马程序的经历
09-15
主要介绍了一次入侵Linux服务器和删除木马程序的经历的相关资料,需要的朋友可以参考下
软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力
murphysec的博客
02-21 581
软件供应链安全问题的出现原因也较为复杂,包括第三方供应商的安全风险、源代码泄露、恶意软件等,并涉及到软件生命周期的所有环节,包括开发、测试、交付、维护等。墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,拥有超过十年的企业安全建设、安全产品研发及安全攻防经验。墨菲安全的“苏木-软件成分分析”、“京墨-源安全管理网关”、“南星-云原生容器安全”、“赤剑-许可证合规管理”、“贯众-漏洞情报预警”这五大产品,夯实了软件供应链安全平台的能力。
第十期 一句话木马与上传漏洞
m0_75196987的博客
05-21 322
然后就开始我们今天的文件上传,然后我们来简单的介绍一下原理嗯,文件上传呢都是有文件上传的接口,如果在后台开发时没有对上传的文件进行安全考虑,或者说采用了有缺陷的措施就会导致攻击者可以通过医生手段让我安全措施,从而上传一些恶意文件,通过该恶意文件来防护嗯嗯后我们就可以通过webster来获取他这台电脑的所有信息并删除,或者说嗯呃,这个讲的话可能不太不太清楚,我给大家演示一遍。3、如果上传文件的类型、大小等信息都符合要求,则服务器为该文件分配一个唯一的文件名,并将其存储在服务器上的相应位置。
Linux服务器中木马(肉鸡)手工清除方法
wuyongde0922的专栏
05-24 4856
0,简单判断有无木马 有无下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port  ls /usr/bin/dpkgd 查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh
一次监控网络,linux杀毒经历
jc_benben的专栏
08-21 1682
一次监控网络,linux杀毒经历 某个项目一位网管监控到网内一台服务器网络明显异常,其他主机都不能访问了,好几次了。 一,查看是否有特权用户: 检查是否组id为0的用户 awk -F: '$3==0 {print $1}' /etc/passwd 检查密码是否为空的用户: awk -F: 'length($2)==0 {print $1}' /etc/shadow 二,查看恶意进程等
免杀PHP一句话木马(把阿里云给过了)
weixin_50464560的博客
05-21 5000
免杀PHP一句话木马:https://www.cnblogs.com/sunny11/p/13680612.html 原酒仙桥文章:(这是全部渗透过程)https://mp.weixin.qq.com/s?__biz=MzAwMzYxNzc1OA==&mid=2247487032&idx=1&sn=c124a25ededa31f3d695e906fbcb752d&chksm=9b392889ac4ea19fa2b7e02c6048b697ed00924e64d93d3f037
一次Linux服务器被hack的过程分析
01-31
最近遇到一个服务器被hack的问题,服务器变成了肉机,不断尝试破解其他机器的帐号。下面我们通过分析黑客在服务器上留下的工具,了解入门的hack方法、学习相应的防范措施。hacker登入一台被入侵的服务器,通常首先...
php实现Linux服务器木马排查及加固功能
10-24
首先,针对特征码查找是木马排查的基础。PHP木马通常会包含特定的执行命令,例如`eval()`或`assert()`函数,这些函数可以让恶意代码执行用户提交的数据。通过在服务器上的所有PHP文件中搜索这些特征码,可以找出可能...
WEB漏洞含义解释(阿里云
03-27
写入 webshell 攻击是指攻击者可以在用户网站上写入一个 web 木马后门,用于操作用户网站上的文件,执行命令等等。 五、本地文件包含 本地文件包含是指程序代码在处理包含文件的时候没有严格控制。利用这个漏洞,...
一句话木马要点和防范注意事项
最新发布
05-24
一句话木马要点和防范注意事项
盖茨木马入侵处理经历
weixin_30622181的博客
06-23 758
今天早上在进行服务器巡检时,发现ps命令出现了比较诡异的进程. 开始怀疑命令被替换,于是执行stat命令,与正常服务器上的命令进行核对 Notice:这是处理后的截图,将原来的文件重命名了ps_bak 正常服务器# stat /bin/ps File: `/bin/ps' Size: 87088 Blocks: 176 IO Bloc...
Redis没有加密漏洞导致服务器被入侵以及解决的过程
lingmeng447的专栏
04-30 794
一次Redis漏洞导致服务器被入侵以及解决的过程 orisonchan关注 2018.08.09 23:41:20字数 781阅读 1,281 其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script
阿里云自变异病毒处理-clamav
ba_pi的博客
07-14 750
阿里云自变异病毒处理 前几天因为yapi的一个漏洞,导致服务器遭受攻击。说一下处理流程。 1.通过top查找占用cup和内存高的可疑程序。 2.通过进程号找到按照目录,删除文件,停用程序。 一开始我就是这么干的,没过多久,阿里云报了一个自变异病毒,我准备去查询进程号,使用netstat,ps,lsof命令我发现不对劲了,没有任何反应 登录到服务器查询/bin目录,文件大小不对,可以明确感染文件不止一处,所以需要通过软件进行全盘扫描。linux下比较常见的杀毒工具是clamav,于是决定安装扫描全盘。 二、安
linux服务器被入侵查询木马(清除方法)
半僧
11-17 6948
一次查询清除木马过程 木马名称: Linux.BackDoor.Gates.5 前两天服务器被扫描后,出现莫名进程,清理后重启,也把原来的SSH密码登陆改为公钥,仅仅过去两天,一早登陆服务器发现一个进程直接懵了,清掉我ROOT所有文件。 这是/etc/profile文件,发现!!! 这明显是前天我没有清理干净,又被攻击了。那就开始排查,战斗!先清理可疑程序,如: 明显不认识
linux病毒木马分析,Linux平台“盖茨木马”分析
weixin_42557803的博客
05-14 1213
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马的分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
一次Redis漏洞导致服务器被入侵以及解决的过程
orisonchan的博客
08-09 2652
其实这个问题在网上都有说明。然而因为本人是开发出身,运维方面比较欠缺,所以才会遇到此问题,遂录下来,以此为戒。 被入侵现象 服务器多了很多莫名其妙的操作,根据查看操作录命令history得到。 服务器会莫名其妙重启。 经常ssh免密登录失效。 apt-get使用报错。 报错log如下: insserv: warning: script 'S01w...
Ubuntu 16.04通过APT源安装QUEM虚拟机调试Linux内核
angou6476的博客
07-21 411
安装: sudo apt-add-repository main sudo apt-get update sudo apt-get install qemu-kvm qemu virt-manager virt-viewer libvirt-bin bridge-utils 安装中基本不会出现依赖的问题,如果出现了,可以使用sudo apt-get install...
windows木马排查
09-14
对于Windows系统,可以采取以下步骤来排查木马: 1. 安装可信赖的杀毒软件:在Windows系统中,安装一个可靠的杀毒软件是非常重要的,它可以帮助你检测和清除病毒、木马等恶意软件。 2. 运行全面系统扫描:使用杀毒软件对整个系统进行全面扫描,确保对所有文件和文件夹进行检查。如果发现任何可疑的文件或行为,杀毒软件会提供相应的处理方案。 3. 升级和更新操作系统及软件:及时升级操作系统和软件是防止木马入侵的重要措施。确保你的Windows系统和安装的软件都是最新版本,并且及时安装安全补丁。 4. 定期备份重要文件:定期备份你的重要文件是一种防止数据丢失的好方法。如果你的系统受到木马攻击,备份的文件可以帮助你恢复数据。 5. 警惕不明来历的文件和链接:避免下载和打开不明来历的文件和链接,尤其是通过电子邮件、社交媒体或不受信任的网站传播的文件。这些可能是木马的传播途径。 6. 加强网络安全:使用强密码、定期更改密码,关闭未使用的端口和服务等措施可以减少木马入侵的风险。此外,使用防火墙和安全软件来监控网络流量也是很重要的。 如果你怀疑系统已经感染了木马,但无法自行处理,建议寻求专业的技术支持或咨询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值