记录内网服务器病毒查杀

已于 2024-08-15 16:13:00 修改
阅读量583 收藏 8
点赞数 11
文章标签: 服务器 网络 运维
于 2024-08-15 16:07:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37742319/article/details/141208405
版权

由于公司没有网络安全人员,导致内网服务器水深火热,偶然间发现了一个服务器中病毒,查杀一下。

第一步先看看是啥

top 命令显示没有可疑进程,但是cpu100%

应该是可以进程被隐藏了按下列表步骤成功显现病毒进程

通过 cat /etc/ld.so.preload 发现里面有.so的文件,这是病毒隐藏文件
vim 进入该文件你会发现许多.so文件,但是属于只读文件,不能修改文件
所以干脆将整个 ld.so.preload文件删除。
改变文件属性后执行删除
chattr -i ld.so.preload
chattr -a ld.so.preload
rm ld.so.preload

再执行top 果然找到病毒进程 

 cpu占用783%!!!

第二步开始杀毒

目前是小白并不懂服务器系统的一些底层逻辑导致查杀困难,只记录杀毒步骤,希望以后遇到方便回查。

执行 kill -9 进程会瞬间重启,应该是有守护进程。

1.先看一下定时任务 

crontab -l
如果有不是自己添加的定时任务直接删除,未避免出异常先全量删除

执行 crontab -r 删除所有定时任务

2.查看病毒源文件

ls -l /proc/24773/exe

显示源文件已被删除

 果然啊没那么简单,说明病毒启动后把病毒文件给删了,应该是有第三方任务执行的

3.找一下这个进程有没有守护进程

systemctl status 24773

 看一下这点文件路径什么情况 果然发现一个复制文件然后启动后删除文件命令,先把cron.hourly下的文件都删掉。记得把cron下的别周期的文件夹也过一般一般都会有

在找到病毒源文件进行删除

忘记去查杀一下病毒源文件了,下次可以去 https://s.threatbook.com/ 进行病毒分析只是好奇可以看看。

再去另一个地址看看,一直在创建 1196也在里边 全删掉,再看看

 后又从/etc/cron.d 中发现更多脚本

 

 所以还是全局搜索一下吧

find / -name ntpdate

找到了一堆全删掉

应该差不多了kill一下试试,未避免有其他进程守护先搜索一下

top -H -p 24773

发现一堆,一起杀调,杀掉后cpu恢复正常

 不容易啊,但是还没完现在还有一个问题服务器是如何被攻击进入的,执行文件又是如何放进来的还是没找到问题所在,继续排查。而且还不知道是否有什么套娃自启脚本没找到。

第三步 深入查杀

还不会先研究研究再记录

m0_37742319
关注
服务器病毒排查记录
梵城专栏
05-30 436
金秋送爽,丹桂飘香,在这个已经逝去的秋天,我收获了酸爽。下面,以时间顺序记录此次服务器病毒排查过程。 8月第一周,服务器进入IDC机房,机器通过几台交换机,包括核心交换机,汇聚交换机,局域网交换机直接向外提供服务,用拟人化的手法形容服务器当时状态的话,叫裸奔。所以,处于网线另一端网络高手们,很容易通过工具扫描到这些服务器,而这个时候的服务器连本机的防火墙都没有打开。 防火墙是什么,防火墙是数据进入服务器的第一道关卡,执行的是iptables的策略规则来限制或放行进入服务器数据,其策略规则除了运维人员配置外,
Linux下使用ClamAV病毒查杀
运维密码
04-11 1164
一、介绍Clam AntiVirus 是一款 UNIX 下开源的 (GPL) 反病毒工具包,专为邮件网关上的电子邮件扫描而设计。该工具包提供了包含灵活且可伸缩的监控程序、命令行扫描程序以及用于自动更新数据库的高级工具在内的大量实用程序。该工具包的核心在于可用于各类场合的反病毒引擎共享库。主要使用ClamAV开源杀毒引擎检测木马、病毒、恶意软件和其他恶意的威胁 1.1、高性能ClamA...
某云服务器挖矿病毒查杀日记
忆年--尘封的记忆
04-28 903
接手的某项目部署于某云平台centos服务器上,由tomcat作为中间件提供应用,且购买了该平台的域名服务,从2019年底上线运营,一直运行比较平稳,可能还没正式用起来,用的人也不是很多吧。但凡事总有个但是,近期发现云服务器CPU资源占用稳定在50%以上,且系统盘各目录被持续定入core.1234之类的陌生文件,导致磁盘空间占用超高。 紧接着操作服务器,不管执行什么命令,都会有这个错误提示: ERROR: ld.so: object '/usr/local/lib/libs.so' f.
记录一次Linux服务器木马程序的杀毒
perry1230的博客
06-04 328
木马程序一直是个比较坑人的病毒,占用我们的资源,导致系统瘫痪。最近找到了解决办法,能支撑一段时间,但是要想真正的杀掉病毒,一方面安装杀毒软件;另一方面就是从源头查起了。以下仅供小白参考! 首先查看一下有哪些程序占用了宝贵资源:top 其次:根据查看到的程序进程杀掉:kill - 9 78623 最后:就解决了你的问题,比较坑人的是,过不了多长时间,,进行top,又发现这个该死的满血复活了 这就说明存在定时启动任务,查看一下:crtontab 根据定时所在的路径,删除掉脚本就好了,期望对其他人有所.
服务器杀毒实录
优弧的博客
04-08 512
参考:https://blog.51cto.com/liwenjia/1959171
记录公司测试环境zigw病毒查杀
Danielmumu的博客
02-27 270
这几天测试环境贼卡,打个war包都很久,top命令查看一下cpu,发现有个进程飚得超高 百度之参考该博文解决 https://www.cnblogs.com/t-road/p/10187004.html 但是还有遗留问题,发现公司测试环境网站一访问自己电脑的cpu就飙到百分之一百,按f12发现执行了很多挖矿脚本,将js导下来看发现所有js文件都出现了以下代码 通过find命令来查找存在...
计算机杀毒记录.doc
06-14
此文档详细记录了对各个科室计算机进行病毒查杀的过程,以确保计算机系统的稳定运行和数据的安全。 首先,我们可以看到文档采用了统一的格式来记录不同科室的杀毒情况,包括科室名称、使用的介质(通常是硬盘)以及...
记一次服务器中了挖矿病毒的检测及删除方法
zhimeng1的博客
09-20 258
2023年9月18日,周一上班,有人反馈生产环境已经登录不了,陆陆续续反馈人越来越多,感觉大事不妙,脊背发凉,所有的网站和平台。5、突然想到公司做过等保测评,还有日志审计服务器,查询到下图,是通过跳板机,试错密码登录到内网,然后进行部署内部服务器的,这台服务器也是唯一一个不曾180天定时修改密码的服务器。确保您的服务器始终保持最新的安全补丁和软件版本,并定期进行安全审计和扫描,以确保您的服务器始终保持安全。中间docker修复,又挂掉,iptables又莫名被删除,一天来来回回的折腾七八次。
关于鬼影病毒查杀
04-24
### 鬼影病毒HEUR/MALWARE.QVM07.GEN查杀详解 #### 一、鬼影病毒概述 鬼影病毒(HEUR/MALWARE.QVM07.GEN)是一种较为复杂的恶意软件,其主要特点在于能够深藏于操作系统底层,并且具有较强的自我保护机制,使得...
centos6.8服务器中了挖矿程序病毒的解决方法
emtit2008的专栏
09-04 954
阿里云提示我的centos服务器出现紧急安全事件:挖矿程序;同时也出现服务器异常登录事件。 出现这样的情况,需要根据以下的步骤去处理 第一步:修改登录的帐号密码,输入命令passwd,根据提未修改。 第二步:禁用可疑的IP,阿里云会有一些IP提示,先把异常登录的IP禁用;命令如下 iptables -I INPUT -s 68.183.140.39 -j DROP //禁用指定的IP ...
linux DDos病毒查杀过程记录
dwl99的专栏
11-05 1625
shell> clamscan -r -i / 查出木马:/bin/pydcddfuia:Unix.Trojan.DDoS_XOR-1 1、查看/etc/cron.hourly  目录下的可疑.sh文件 ljjoamwmrybbx.sh gcc.sh 2、查看gcc.sh内容,木马源文件 /lib/libudev.so /lib/libudev.so.6 查看ljjoamwmryb...
服务器病毒怎么排除
weixin_35749440的博客
01-11 428
在排除服务器病毒时,首先需要确定病毒的类型。这可以通过运行杀毒软件或在线病毒扫描来完成。 一旦病毒类型确定,可以通过下列步骤来排除病毒: 备份重要数据: 在排除病毒之前,应先备份重要的文件和数据,以防止在排除病毒过程中数据丢失。 删除病毒: 根据病毒类型和所使用的杀毒软件的不同,选择相应的排除方法。可以使用杀毒软件来查杀病毒,或者手动删除病毒。 更新操作系统和杀毒软件: 确保操作系统和杀毒...
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 2026
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
记录一次杀毒过程
wind的博客
07-14 257
yayaya病毒查杀
linux服务器排查病毒纪实
m0_59598029的博客
01-11 984
昨天邮件收到如下图所示:一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否被入侵?从昨天排查杀毒到今天,已经没再给我发警告邮件了,说明病毒已经清除掉了。
网络安全】我的第一次windows服务器杀毒经历
09-21 9668
公司的数据库服务器上有毒,一直没太在意(因为没有人在意,创业公司,问题不严重就没人管)。 今天遇到点问题,就顺手把服务器上的毒清了吧。 快捷键win+ R,打开cmd 输入netstat -ano查看端口状态 etablished表示正在使用的,其他的不管,UDP协议的也不管 打开百度,搜索IP,查看ip归属地 发现176.9.147.178是国外的ip,这个就是攻击者的ip了
服务器病毒木马通用排查处理应急响应流程
it知识分享 free for nothing..
03-18 2363
服务器病毒木马通用排查处理应急响应流程
Linux服务器中了病毒后的清理方法
最新发布
weixin_45625174的博客
05-15 1601
" -ls 和 find /usr/sbin/ -iname ".
局域网病毒特点与内网安全挑战
由于网络环境的复杂性,病毒往往难以彻底清除,即使部分病毒查杀,也可能存在残留,随时可能复活。此外,局域网病毒的破坏性大,可能导致数据丢失、系统崩溃,甚至影响整个网络的正常运作。最后,局域网病毒还有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值