centos服务器中木马后的处理和预防

最新推荐文章于 2024-05-11 12:09:03 发布
最新推荐文章于 2024-05-11 12:09:03 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: 服务器配置 文章标签: linux 木马查杀 服务器安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiniao8651/article/details/95456781
版权

背景

自己用的一台服务器中了挖矿木马,根据清木马的经历,特意写了这篇文章,这不能算是一个权威教程,因为自己对木马的机制并没有彻底的了解,只当是一个记录和讨论的方式。

中木马的迹象

如果你的服务器出现以下迹象,比如ssh连接登录后输入命令很慢,或者是请求服务器上的后端服务变得很卡,这时候就可以用top命令看一下服务器上进程的资源占用,如果有异常占用资源特别高的进程(像是挖矿类的木马,可能进程的CPU占用能到99%),那服务器大概率就是中木马了。

发现异常后的处理

常见的处理方式

主要可以参考以下文章里的方式:
linux系统入侵排查以及木马清除
一次Linux服务器被入侵和删除木马程序的经历
一次centos7.3系统中病毒排查经历
黑客入侵检查

可以看到处理方式很多,都是大家的经验教训。我这里只摘出其中很有用的两点说一下:

  1. 服务器中木马后,首先根据top命令获取到异常进程的pid,使用lsof -p < pid >可以查看异常进程的执行文件。可以尝试用chmod -R -x 执行文件目录,来让执行文件失去可执行性。删除往往没有作用,因为木马进程有自己的保护机制,检测到被删除后会重新下载一份。
  2. 查看crontab中是否有写入异常的定时任务,病毒往往会在crontab中设置定时任务来保活。

但是无论你怎么杀木马,怎么删文件,还是可能会有病毒的残留,最稳妥的方式就是重装系统。

预防

因为现在的木马进程保活机制做的很完善,你可能很难杀掉木马进程,在使用各种方式去查杀木马进程时,自己肯定是无比的后悔为什么不把安全机制做完善一些。下面我记录几点基本的安全设置,以后看到其他资料会再来补充。

  1. 避免弱口令。弱口令是最容易中木马的原因,别人一旦获取到了你的服务器口令,就相当于有了服务器的控制权。
  2. ssh端口不要使用默认的22端口。因为网络上有很多破解程序一直在扫描破解公网上的服务器,通过修改ssh端口可以避免一定量的破解访问。
  3. 禁止root的远程登录。远程登录时使用普通用户,当需要用到root权限时,再用sudo来提权。
feiniao8651
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全脚本】 centos 下的病毒木马查杀脚本
互联网老辛
09-04 4150
文章目录前言源码解释说明1) clamv 的安装方式2) 常用参数和命令后续总结 前言 病毒木马查杀脚本使用的是clamAV , 它是开源工具包,用于检测特洛伊木马,病毒,恶意软件,以及其他威胁。 特点: 安装使用简单,在centos6下yum安装即可,在centos7下也可以用yum,比6稍微复杂点 支持读写扫描 提供病毒数据更新 可以扫描档案和压缩文件 源码 #!/bin/bash DATE="$( date +%F )" LOGD="${WORKDIR}/log.d" RC=0 DIR=/ D
六、关于阿里云CentOS7被挖矿木马程序入侵的解决办法
玻璃汽水的博客
10-09 4722
查看进程:top c
2024年最新【安全脚本】 centos 下的病毒木马查杀脚本(1),2024年最新应聘高级网络安全工程师历程感言
最新发布
2401_84300128的博客
05-11 333
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
linux conf.n木马,centos netstat和ps感染木马解决方案
weixin_42350864的博客
05-27 350
解决方法:a.去除恶意文件的执行权限chmod 000 /tmp/gates.lod /tmp/moni.lod service sendmail stop chkconfig --level 345 sendmail off chmod -x/usr/sbin/sendmail chmod -R 000/root/*rar* chattr -i /root/conf.n ...
centos随机名、自我保护的木马病毒 清除小记
onebird_lmx的博客
09-27 538
这种病毒是进行了自我保护的,直接删除文件或修改文件都会导致其变身重新复制,需逐步清除: 这个木马的主程序是:/lib/libudev.so 1、一般来说,病毒会在cron.hourly里面有sh脚本(gcc.sh),可以cat查看后找到其宿主程序: libudev.so libudev.so.6 清除之: cp /dev/null /lib/libudev.so cp /dev/null /lib/libudev.so.6 2、对自动启动服务 init 进行清理: /etc/init.d 下面应该会有运行期
CentOS服务器安装FFmpeg的完整步骤
01-10
服务器系统环境为:CentOS 6.5(final); 在服务器成功安装FFmpeg颇废了一番功夫,总结一下成功安装的过程,希望对大家有用 ^_^ ; Ps:使用Java调用FFmpeg处理音视频媒体文件可以参考 Java使用FFmpeg处理视频文件...
将Django项目部署到CentOs服务器
12-24
首先,把项目上传到虚拟机。 scp -r C:\Users\Administrator\Desktop\fresh root@192.168.218.128:/home/fresh/ 在虚拟环境运行,确保uwsgi安装好。 pip install uwsgi 验证: 浏览器正常访问ip+端口,能正常...
CenTOS服务器配置综合练习题
11-10
"CenTOS服务器配置综合练习题" 本资源是关于CenTOS服务器配置的综合练习题,涵盖了服务器配置、DNS服务器搭建、Web服务器搭建等多方面的知识点。 一、服务器配置 * 查看当前目录:使用pwd命令查看当前目录。 * 在...
服务器安装centos7.6图文步骤超详细版
10-14
在本教程,我们将详细探讨如何安装 CentOS 7.6 服务器操作系统,这是一个适用于企业级应用的稳定且功能丰富的Linux发行版。以下是整个安装过程的详细步骤: 1. **准备工作** - **操作系统文件**: 在开始之前,...
彻底清除Linux centos minerd木马 wnTKYg木马
把酒问天专栏
08-11 1123
转载: http://jingyan.baidu.com/article/b7001fe1bf71ee0e7282dddb.html 由于用的是临时服务器安全性上疏忽了,导致受到了minerd木马攻击,清理的时候,遇到了ntp这个很具有迷惑性的服务,费了一番功夫才敢彻底清理。 现状描述 1 top可以看到,这个minerd
彻底清除Linux centos minerd木马
无意摘花
05-08 661
前几天感觉tomcat服务启动很慢,没太注意,今天一top,竟然发现有个minerd进程把整个cpu都占满了,在网上一查,发现已有前辈遇到这样的问题了,在此转载一下,以供大家参考。 原文:http://jingyan.baidu.com/article/b7001fe1bf71ee0e7282dddb.html 1 现状描述 1.1 现像 top可以看到,这个minerd 程序把cpu跑满了 1.2 定位进程 ps aux | grep minerd 可知是这个程序: /opt/miner
Centos7病毒排查[tsm][kswapd0]
adsszl_no_one的博客
04-06 9896
大清早看到腾讯云的短信,说检测到木马文件 心想管他呢,昨天刚重装的腾讯云主机,就上了一个服务,坑人的吧 开始我的一天的学习,我插,我的app竟然连不上我的pg了,我就去我的腾讯云主机上看看。 我的容器呢,一看,容器停了,算啦,手动重启下 我去,什么情况 想到今早的病毒信息,就去看了下腾讯云的消息 看一下主机的资源使用情况 赶紧去百度,没找到相关问题 ks...
python挖矿木马_centos7系统被入侵,挂载挖矿木马-pamdicks-(1)临时处理
weixin_39968820的博客
12-06 214
###故障说明故障环境配置 开发测试服务器(腾讯云); 系统:centos7 ; 程序启动模式:root用户直接启动; 网络环境:所有端口全部对外开放(使用仅屏蔽部分关键端口ssh,redis,rabbitmq等); 为方便服务器间数据传输方便,采用了ssh互信方式。故障现象 开发使用过程,发现经常有服务无故关闭,登录服务器经检查,发现CPU使用率达到100%。 在检测异常进程,未发现CPU使...
Centos 7.4 服务器 被植入挖矿木马
weixin_30595035的博客
10-16 506
背景 最近由于在弄springboot shiro的redis session共享的问题,所以在服务器上部署了redis,因为没有太多的考虑所以没有设置密码。 等到第二天的时候,发现redis外网无法访问内网可以。 查看端口绑定情况netstat-antlp|grep6379 发现绑定没有问题 查看本地的路由,发现绑定到了127.0.0.1 发现绑定问题之后,就增加一...
Linux CentOS 7.2 排查系统木马
jayhidden的专栏
01-28 3073
从未在Linuxxito系统上排查过木马,今天遇到了,记录一下。 首先发现redis里的数据被篡改了,并且 crontab -l 查看计划任务,发现root用户多了像wget,curl这样访问外部链接的东西,然后/var/spool/cron下多了很多tempxxxx.rdb这样的文件,还有.swm,swo文件??? 打开其的一个rdb文件,又发现了是在远程下载一个sh文件,怀疑这可能是...
安全脚本】 centos 下的病毒木马查杀脚本,2024我的Python大厂面试之旅
2401_83739777的博客
03-22 524
shell脚本的熟练程度,其实就是Linux操作系统的熟练程度。(1)Python所有方向的学习路线(新版)这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。最近我才对这些路线做了一下新的更新,知识体系更全面了。(2)Python学习视频。
linux php木马提权,Centos7 下 redis 入侵实战 - root提权
weixin_29471541的博客
03-23 344
.知识铺垫Redis 还有几个奇怪的功能:Linux 有一个功能可以通过一个端口写到本地文件,如果我要写一个文件,而这个文件是木马,那就自动拉起了。如果写入自己签名的公钥,用自己的私钥解公钥,自己解自己的,所以直接替换公钥,就是通过 Redis。那么下面来实战演练一下通过redis匿名登陆写入反弹shell .环境准备首先启动一个允许匿名登陆的redis服务器。1[root@server01...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值