Linux下查杀木马常用命令

最新推荐文章于 2024-06-23 20:26:48 发布
最新推荐文章于 2024-06-23 20:26:48 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nece001/article/details/104427164
版权

先进行检查:

根据top命令查看当前进程,找到可疑进程的进程号和运行的用户
去/proc目录下对应的进程号目录,查看exe文件对应的目录
(今天发现的是pscan2这个木马,启动用户是tel)


着手处理

1、停止用户tel所有进程
#pkill -9 -U tel

2、删除用户tel
#userdel tel

3、到之前查到的进程目录下,将木马文件删除
#rm -fr /home/tel

其它可能有用的命令

停止名为scanssh的所有进程
#pkill -9 scanssh

nece001
关注
专栏目录
【安全脚本】 centos 下的病毒木马查杀脚本
互联网老辛
09-04 4197
文章目录前言源码解释说明1) clamv 的安装方式2) 常用参数和命令后续总结 前言 病毒木马查杀脚本使用的是clamAV , 它是开源工具包,用于检测特洛伊木马,病毒,恶意软件,以及其他威胁。 特点: 安装使用简单,在centos6下yum安装即可,在centos7下也可以用yum,比6稍微复杂点 支持读写扫描 提供病毒数据更新 可以扫描档案和压缩文件 源码 #!/bin/bash DATE="$( date +%F )" LOGD="${WORKDIR}/log.d" RC=0 DIR=/ D
内核级木马与病毒攻防:Linux可执行文件的ELF格式描述
tyler_download的专栏
07-20 889
要想在Linux系统上实现逆向工程,分析,设计或查杀病毒和恶意代码,你不得不深入掌握其可执行文件的ELF格式,这样你才能了解进程在内存空间的布局和运行的基本规律,这样你才能有针对性的设计有效的病毒或恶意代码入侵系统。 ELF文件主要有以下几种类型,ET_NONE表示该文件的作用未知;ET_REL表示重定向文件或叫目标文件,它们将会被链接并加装到某个指定的虚拟内存位置,常见的以.o结尾的二进制文件就属于这种类型。ET_EXEC表示可执行文件,它是由多个.o文件链接起来,可以被加载到内存进行执行的进程数据文件;
Linux查杀***经验总结
weixin_34417200的博客
05-23 244
前段时间公司网络异常,访问公网和内网都出现丢包,甚至无法访问的情况。登录网关查看监控,发现OA服务器的出方向流量异常,并连接了一个国外IP地址。 然后想登录OA服务器排查,发现登录不上,ping丢包严重,猜测服务器的CPU、连接数或带宽被占满,导致无法登录。 OA服务器是部署在一台Esxi上的虚拟机,Esxi主机也登录不上了,首先拔掉了Esxi的网线,阻止...
Linux下手动查杀木马与Rootkit的实战指南
weixin_43822401的博客
06-23 609
手动查杀Linux下的木马和Rootkit需要对系统有深入的了解和正确的工具。通过模拟攻击者的行为,我们可以更好地理解他们的技术手段,并采取相应的防御措施。攻击者可能会编写权限维持脚本,这些脚本通过父进程检测子进程的存在,如果子进程被删除,父进程将自动重启子进程。它可以扫描已知的rootkit特征码,并检查系统文件的异常属性。rkhunter将执行一系列测试,包括MD5校验、检测rootkits使用的二进制文件、特洛伊木马的特征码检测等。请注意,本文中的技术仅供教育目的,切勿用于非法活动。
linux木马查杀工具,【Kali】linux木马查杀
weixin_42516668的博客
05-04 1000
通常系统中木马或者病毒后会有各种各样的特征异常特征:1.网络流量2.异常进程3.消耗资源,如占用CPU、内存、硬盘读写针对异常,使用适当的命令进行排查。这里以网络接口为例流量为例1、查看通信端口查找异常通信的端口、IP,并记录PID和program namenetstat -anonetstat -tnpl掌握lsof、ps命令2、确定进程路径Linux在启动一个进程时,系统会在/proc下创建一...
服务器linux杀网页木马,一次Linux服务器木马查杀经历
weixin_42120563的博客
05-09 422
1客户自己的服务器由于种了木马,往外发送大量数据包,被服务商切断网络.虽然没有网络不能直接登录服务器,但是可以通过服务商提供的WEB控制面板进入操作系统.首先使用命令查看相关连接:netstat-natp,很明显看到了异常进程gettylsof-i:35308对应进程号,然后kill掉.使用命令last查看最近登录情况:其中有异常IP登录:60.28.121.160是天津的IP,而客户是...
Linux下简单的木马查杀
周瑜的博客
02-07 1262
最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07 查杀思路 先查看系统中有没有异样的进程 找到异常进程之后 kill 掉 找到异常进程启动的位置并修复 具体的查杀步骤 先看到阿里云的报警信息 其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼,不知所措) 然后通过 top 查看运行的进程 发现了异常的进程 network01 kill -9
linux运维常用的命令,完全够你平时的运维
DoubleJing的博客
12-15 471
1.删除0字节文件 find-type f -size 0 -exec rm -rf {} \; 2.查看进程 按内存从大到小排列 ps -e -o "%C : %p : %z : %a"|sort -k5 -nr 3.按 cpu 利用率从大到小排列 ps -e -o "%C : %p : %z : %a"|sort -nr 4.查看 cache里的 URL grep -r -a jpg /data/cache/* | strings | grep "http:" |awk-F'http:' '{print
linux应急常用命令+技巧总结
渗透测试教程
03-12 487
常用命令 top # 命令可以直接看到进程实时情况。 ps aux --sort=pcpu | head -10 # 查看cpu占用率前十的进程,有时候可以发现top发现不了的东西 netstat -anpl # 检查当前存在的连接与监听端口 ps -ef #查看当前系统上运行的所有进程与其使用的命令 w # 查看活动用户 who # 查看当前登录用户(tty 本地登陆 pts 远程登录) /var/log/utmp last # 查看用户登录日志,查看我们系统的成功登录、关机、重启等情况 /var/l
Windows以及Linux的入侵排查
qq_60600840的博客
06-03 759
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等。后门查杀
Linux系统木马后门查杀方法详解
01-09
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:   一、Web Server(以Nginx为例)   1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)   2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)   3、path_info漏洞修正:   在nginx配置文件中增加: if ($request_filename ~* (.*).php) { set $php_url $1;          }
Linux下查杀webshell木马的工具.zip
01-05
Linux下查杀webshell木马的工具.zip
Linux下手动查杀木马过程
吕巡鑫
03-09 792
文章目录1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)1.1Rootkit概述1.2实战-通过rootkit隐蔽行踪1、安装adore-ng2、测试,查看帮助:实战1:演示ava提权功能1、准备测试环境2、创建一个普通用户3、通过ava命令提权,让普通用户xinsz08可以获得root权限4、使用r命令选项提权5、在别一个终端上查看,运行此vim...
Linux杀木马
******* ▄︻┻┳═一 *******
01-02 1690
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。 以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一、Web服务器(以Nginx为例)1、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤) 2、在nginx配置文件中增加: if ($request_filename ~* (.*)\.php) { set $php_u
【ceph】如何打印一个osd的op流程,排查osd在干什么
zerotoall的博客
11-24 350
【ceph】如何打印一个osd的op流程,排查某个osd具体在干什么
记一次手动查杀Linux服务器挖矿木马
3D的博客
01-17 1929
我实验室的座位隔壁放着一台其他课题组管理的服务器,平时利用率不高。那天我发现服务器的风扇转速拉满持续了至少一天,遂问隔壁在跑什么东西,隔壁同学在课题组问了一圈发现没人在用。两天后我恰好有点时间,帮他们在服务器上进行调查。最终发现是中了挖矿木马,进行了杀毒并把多个存在的系统漏洞都补上了。第一次手动实战查杀,故记录方法和过程。系统版本:Ubuntu 20.04 LST。
linux服务器病毒查杀常用命令
最新发布
08-06
Linux服务器上,由于其安全性较高,传统意义上的病毒并不多见,更多的是恶意软件或恶意脚本。然而,为了保持系统安全,还是需要定期检查是否有可疑活动。以下是几个常用的Linux系统安全管理命令: 1. **`sudo apt-get update && sudo apt-get upgrade`**:更新系统包列表并升级已安装的软件,包括防病毒扫描工具如ClamAV。 2. **`clamscan /path/to/directory`**: 使用ClamAV扫描指定目录。如果服务器上没有安装ClamAV,需先安装 (`apt-get install clamav`)。 3. **`chkrootkit`**: 检测当前系统是否受到rootkit攻击。这是一种隐藏恶意软件的技术。 4. **`unshare -m ps aux`**: 在容器环境下查进程树,避免误报。 5. **`grep -rnw '/var/log/' -e 'malware|virus|attack'`**: 在日志文件中搜索包含恶意关键字的内容。 6. **`iptables -L`**: 查看防火墙规则,确认它们正常保护系统免受未经授权的访问。 7. **`sysctl -a | grep fs.protected_regular`**: 确保默认权限设置不会让恶意程序运行。 请注意,虽然上述命令可以提供一些基础的安全检查,但更专业的安全分析通常需要专门的工具,如YARA、AIDE等,并结合网络安全策略执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值