一次简单的排查木马(查找端口号的进程PID)

已于 2022-05-27 16:38:09 修改
阅读量515 收藏 2
点赞数
文章标签: 服务器 运维
于 2021-11-07 00:33:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiecy/article/details/121186924
版权

单位做了杀毒和漏扫服务器,想如果想远程一台机器(以下称为C),那么C开的远程端口如果不是默认端口,用漏扫能扫出C的所有开放端口吗?于是新建一个任务,指定只扫C机的IP,哦豁,竟然有个特洛伊木马,说开在6000端口,有个未知的服务。

在哪里呢?打开服务(services.msc),上下看了看,没找着!于是禁用了防火墙所有的入站、出站的Accept规则,先慢慢找吧。

接着,打开cmd窗口,输入"netstat -ano",果然发现了一个本地的源端口6000,已经与本地的一个高位端口建立联接,它的进程号是9152,于是找这个进程的文件:

tasklist | findstr "9152",找到了文件,原来是一款汉化版的远程工具,删掉它就OK了。当然,这个过滤命令也可直接用在netstat 后边,netstat -ano |findstr 'xxxx'也会显示进程ID。

-------------------------------------

netstat 用法:

-a 显示所有连接和侦听端口

-b 可显示关联的程序名,需要powshell管理员模式

-e 显示简单网络统计信息

-f 显示fqdn完全域名

-n 数字形式显示地址和端口号

-o 显示相关联的进程ID

-p 限定协议号,如tcp\udp\tcpv6\udpv6\icmp...

-s 每个协议的统计信息,可与e联用

-r 显示路由表,相当于route print

-x network direct的连接、侦听、共享终结点

interval 配合统计,间隔N秒显示一次

jiecy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web服务器管理系列:5、利用MSConfig排查木马
认真搞技术
06-15 967
木马程序最喜欢去的地方有两个一个是服务里面,一个是启动里面。利用msconfig我们可以快速的找到可疑程序。   在命令行中输入msconfig回车 选择服务项:   这里面的服务有很多我们很难排查,我告诉大家个好办法,选中“隐藏所有Microsoft服务”前面的复选框: 这下服务少了很多吧,如果还有自己不认识的服务那差不多就是木马了。 点击启动项,可以看到服务器启动是所
[病毒] 由PID查杀木马病毒
毛C毛Py的专栏
01-23 923
电脑不知何故,运行起来特慢,程序根本无法运行。首先查看Windows任务管理器,马上发现了原因:进程“KERNEL32.EXE”居然占用了CPU的90%以上资源!怀疑是木马或病毒在作怪。如何来确定它一定是木马病毒,并知道它打开了电脑哪个端口呢?  查找原因  我们从如图1所示的进程图可以看到进程项“KERNEL32.EXE”的PID(进程标识符)是888,因为每个标识符都是不同的,所以根据
服务器病毒木马通用排查处理应急响应流程,开发这么久这些问题都不会
最新发布
sahtk89452的博客
04-09 505
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
网络工程师从进程查找木马
INFO TECH
04-30 1134
对于进程这个概念,许多电脑用户都没有给予太多关注。在很多人印象里,只知道结束进程可以杀死程序,至于哪些进程对应哪些程序,究竟什么样的进程该杀,什么样的进程不能杀这些问题很少考虑。这里通过几个实例为大家揭开进程的神秘面纱。   实例一:和进程的“表演者”交个朋友   很多时候,我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密,首先就必须和一些常见系统进程交个朋友,一旦掌握了它们,就
如何通过端口来判断电脑感染何种木马
leyvan的专栏
08-06 704
首先,使用Windows自带的netstat命令来检查一下机器开放的端口,进入到命令行下,使用netstat命令的a和n两个参数,显示结果如下所示:C:>netstat -an  Active Connections  Proto Local Address Foreign Address State  TCP 0.0.0.0:80 0.0.0.0:0 LISTENING  TCP 0.0.0
如何排查木马
隐身博客
01-11 674
如果你发现了陌生的或者恶意的进程,可以将其结束,并在搜索引擎上搜索该进程的名称,了解更多相关信息。7. 使用专业的排查工具:除了杀毒软件,还可以使用一些专业的排查工具,如Rootkit Revealer、Malwarebytes Anti-Malware等,这些工具可以帮助发现和清除隐藏的木马程序。检查是否有陌生的网络连接,特别是对于远程控制或远程访问服务,如果发现可疑的连接,可以禁用它们。1. 更新和扫描杀毒软件:确保你的电脑上安装了最新版本的杀毒软件,并进行全盘扫描,以便检测和删除任何潜在的木马程序。
查看是否有木马程序 netstat -nb
resilient的博客
08-25 289
linux根据进程PID查找启动程序的全路径
09-14
在Linux系统管理中,了解如何根据进程号(PID查找启动程序的全路径是一项重要的技能,尤其是在处理异常进程或优化系统性能时。当面临类似网络异常、服务器发送异常数据包的问题时,这一技巧显得尤为关键。下面我们...
Linux中怎么通过PID号找到对应的进程名及所在目录方法
09-15
这篇文章将详细介绍如何通过PID号找到对应的进程名及所在目录。 首先,PID(Process ID)是系统为每个运行中的进程分配的唯一标识符。在Linux中,可以通过多种方式获取PID,最常见的方法之一是使用`top`命令。打开...
Linux下查看端口占用进程号,程序名的方法
09-15
本文将详细介绍如何在Linux环境下查看端口占用的进程号和程序名,以便进行故障排查。 1. **使用`lsof`命令查看端口占用** `lsof`(List Open Files)是一个强大的工具,它可以显示当前打开的文件和网络连接信息。...
windows系统通过端口号pid获取程序路径
05-04
根据端口号pid号 获取程序名称、程序路径的信息 主要通知cmd.exe的 netstat -ano、netstat -aon |findstr 80、wmic process get name,executablepath,processid|findstr 80。三个指令调用主机底层指令的。 适合...
netstat命令查看本机开放端口
03-12
查看开放端口,判断木马的方法 当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。以下是详细方法介绍。
易语言-易语言获取tcp/udp端口对应的进程pid例子
06-25
在易语言中,我们可以编写程序来枚举系统中的所有网络连接,并查找对应端口的进程PID。这通常涉及到以下几个步骤: 1. **枚举网络连接**:使用易语言提供的系统API,如`EnumNetConns`函数,可以遍历系统中的所有...
【应急响应】————10、十字木马排查
Fly_鹏程万里
02-22 477
中毒现象: 内到外的流量大,打DDOS入侵方式: 通过SSH暴力破解病毒分析: 木马病毒在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令。杀死该进程后,会再随机产生一个新的进程,删除这些木马文件后,会再重新生成新的木马文件。由此可以判断,木马病毒会自动修复,多个进程之间会互相保护,一旦删除和被杀,立即重新启动和复制。 首先注意到/tmp/.zl文件 [...
linux木马排查
qq_39122260的博客
02-16 2062
排查 结合通过AIDE入侵检查服务查看那些被修改了 计划任务 查看 crontab -l -u root 开机启动 查看 cat /etc/rc{1..3}.d/rc.local 系统命令被人替换 查看 /家目录/.bashrc /etc/bashrc Alias 定一个触发事件 查看 top -d 1 pstree -ap | grep 异常进程pid ps -ef | grep 一场进程pid 定时备份清除历史命令记录文件 /root/.bash_histort 系
linux和windows木马排查思路
qq_40770143的博客
10-23 2318
一般常见的黑客入侵途径 1、主机远程连接端口暴露在互联网并存在弱口令,被黑客暴力破解后获取主机权限。 2、主机部署数据库后连接端口暴露互联网,数据库账号弱口令,被黑客入侵数据后提权获取主机权限。 3、部署业务存在应用漏洞,被黑客利用植入webshell,控制主机。 一、windows系统排查木马处理流程: 1、procexp.exe 开启virtual在线查杀,发现木马进程。 2、procexp....
windows进程管理器_Windows自带强大的入侵检测工具:Netstat,可查询是否中木马。...
weixin_39604897的博客
11-08 322
Netstat命令可以帮助我们了解网络的整体使用情况。根据Netstat后面参数的不同,它可以显示不同的网络连接信息。Netstat的参数如图,下面对其中一些参数进行说明。如何检测本机是否有被中木马,电脑系统后台是否已被秘密操控,是否被监听。今天跟大家讲下如何查询可疑连接,调用任务管理器Ctrl+Shift+ESC组合键,找到对应的PID数值,右击结束进程。Windows自带强大的入侵检测工具——...
netstat和ps感染木马解决方案
weixin_33932129的博客
07-23 212
2019独角兽企业重金招聘Python工程师标准>>> ...
Windows系统病毒木马排查清除方法
yeyiboy的博客
05-05 2117
Windows: 1. 检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程。 2. 用户检查,打开“我的电脑”-->“管理”-->“计算机用户和组”查看是否有多余用户,管理员组都是那些用户,这些用户是否安全。 3. 查看服务选项,cmd中servisces.msc打开服务面板,查看状态为“开启的服务”排除正常服务,寻找是否有可疑服务。 4. 检查系统中拥有启动方式的文件,system.ini和w.
如何根据端口号找到进程
07-15
要根据端口号找到对应的进程,可以使用以下方法: 1. 使用lsof命令:lsof(list open files)命令可以列出当前...通过以上方法之一,你可以根据端口号找到对应的进程。这些信息可以帮助你进行网络故障排查进程管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值