centos随机名、自我保护的木马病毒 清除小记

最新推荐文章于 2024-05-11 12:09:03 发布
最新推荐文章于 2024-05-11 12:09:03 发布
阅读量564 收藏
点赞数
分类专栏: centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onebird_lmx/article/details/108828059
版权

这种病毒是进行了自我保护的,直接删除文件或修改文件都会导致其变身重新复制,需逐步清除:

这个木马的主程序是:/lib/libudev.so

1、一般来说,病毒会在cron.hourly里面有sh脚本(gcc.sh),可以cat查看后找到其宿主程序:
libudev.so libudev.so.6
清除之:
cp /dev/null /lib/libudev.so
cp /dev/null /lib/libudev.so.6

2、对自动启动服务 init 进行清理:
/etc/init.d 下面应该会有运行期的病毒程序,分别处理之
chmod 000 /etc/init.d/ymcxxvpc
chmod 000 /etc/init.d/xhyxxsjdtb
chattr +i /etc/init.d/

3、对计划任务进行清理:
chmod 000 /etc/cron.hourly/*
chmod 000 /etc/cron.hourly/.
chattr +i /etc/cron.hourly/
chattr +i /etc/crontab

4、对病毒的运行目录进行保护:
chattr +i /etc/
chattr +i /usr/bin/ /bin/

5、kill掉运行的病毒 kill -9 … 或者 干脆重启服务器

6、开始清理病毒残余
rm -f /usr/bin/… (或 rm -f /bin/… ) 病毒文件,在ssh的文件管理界面看出,一一干掉
chattr -i /etc/ /etc/crontab
vi /etc/crontab 删除病毒的计划任务
chattr -i /etc/cron.hourly/
rm -f /etc/cron.hourly/. 删除病毒的计划任务程序
rm -f /etc/cron.hourly/*
rm -f /etc/init.d/… 删除病毒及链接文件
rm -f /etc/rc0.d/… rc1 rc2 rc3 rc4 rc5 rc6 …

最后记得把关键的目录 如 /etc /usr/bin 等解开保护,否则搞不好服务器都重启不了

完成后,进行必要的文件保护:
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/inittab
chattr +i /etc/crontab /etc/cron.hourly

onebird_lmx
关注
专栏目录
【安全脚本】 centos 下的病毒木马查杀脚本
互联网老辛
09-04 4197
文章目录前言源码解释说明1) clamv 的安装方式2) 常用参数和命令后续总结 前言 病毒木马查杀脚本使用的是clamAV , 它是开源工具包,用于检测特洛伊木马,病毒,恶意软件,以及其他威胁。 特点: 安装使用简单,在centos6下yum安装即可,在centos7下也可以用yum,比6稍微复杂点 支持读写扫描 提供病毒数据更新 可以扫描档案和压缩文件 源码 #!/bin/bash DATE="$( date +%F )" LOGD="${WORKDIR}/log.d" RC=0 DIR=/ D
记一次centos中挖矿病毒处理经过
a345203172的专栏
10-08 1662
环境:centos7.6 挖矿进程:rabiit 1、先关闭无用对外端口 (例如redis端口,mysql端口等),限制可以ssh登录的ip地址,可以用last查看近期远程登录的用户,确认是否存在可疑IP或者用户 2、查看定时任务情况(这个可以查看/var/log/cron文件,是否存在可疑定时任务执行日志),查看可以定时任务的启动位置,删除可疑定时任务 crontab -e /var/spool/cron/ /etc/crontab /etc/cr...
Linux中Cron任务间隔执行:每隔几分钟/几小时/几天
非鱼
09-07 2万+
一、配置文件(/etc/crontab) 直接VI编辑就可以 二、配置格式 * *  *  *  *  command 分钟(0-59) 小时(0-23) 日期(1-31) 月份(1-12) 星期(0-6,0代表星期天)  命令 第1列表示分钟1~59 每分钟用*或者 */1表示 第2列表示小时1~23(0表示0点) 第3列表示日期1~31 第4列表示月份1~12 第5列标识号星期0~6
2024年最新【安全脚本】 centos 下的病毒木马查杀脚本(1),2024年最新应聘高级网络安全工程师历程感言
最新发布
2401_84300128的博客
05-11 360
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
centos服务器中木马后的处理和预防
高飞的专栏
07-11 2915
中木马的迹象 如果你的服务器出现以下迹象,比如ssh连接登录后输入命令很慢,或者是请求服务器上的后端服务变得很卡,这时候就可以用top命令看一下服务器上进程的资源占用,如果有异常占用资源特别高的进程(像是挖矿类的木马,可能进程的CPU占用能到99%),那服务器大概率就是中木马了。 发现异常后的处理 常见的处理方式 主要可以参考以下文章里的方式: linux系统入侵排查以及木马清除 一次Linux服...
Linux _学习——Centos8惨痛教训_木马入侵
含笑
01-13 1044
Linux _学习——Centos8惨痛教训_木马入侵 这是第二次被木马了 !!! 今天 上传部署一个脚本,每运行一段时间就自动关闭进程,早了半天代码问题,结果是被木马了。艹蛋。 小白入门建议 :别用简单密码了,端口别随便开,防火墙别关 ! ! ! 我就那最常用密码123456的分母 !!! 然后 就被扫盲了,,, CUP一直百分百不下来,卡死,连xshell都连不上,一会就被断开连接 提交 工单,技术说可能是上机核实您的服务器存在异常的定时任务。 查看 ...
centos服务器中病毒dealer sshc tutu
weixin_42502379的博客
09-12 760
dealer sshc tutu centos 服务器病毒处理过程
网络安全-应急响应之入侵排查篇及相关工具
kuokay的博客
05-07 2730
windows 入侵排查 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: Web 入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结.
CentOS7清除wnTKYg木马
紫眸的博客
06-11 6670
今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个为wnTKYg的进程。 网上查找说是一个挖矿木马,清理之后做个记录。 木马如下图: 尝试pkill -9 wnTKYg杀死进程,发现没过多久又出现了 感觉好恶心,中毒原因应该是redis没有设密码或者是弱口令,先关了redis防止再次中招 systemctl stop redis 接下来 如果/root/.
Centos系统简单的病毒处理
从删库到跑路吧~
08-10 8099
第一次遇到服务器被植入了挖矿程序,慌的一匹。下面说说我处理这个故障的简单操作, 每天早晨上班第一件事就是打开监控,查看服务器资源占用情况,发现我服务器的双核CPU一直占用率100%。 通过xshell连接,使用top命令再次查看确认 这个xig不知道是什么鬼程序,通过群里的大佬说使用 lsof  -p  16241(PID号) 查看下这个进程调用了那些程序; 看完这些才发现还是一脸...
Linux CentOS 7.2 排查系统木马
jayhidden的专栏
01-28 3094
从未在Linuxxito系统上排查过木马,今天遇到了,记录一下。 首先发现redis里的数据被篡改了,并且 crontab -l 查看计划任务,发现root用户多了像wget,curl这样访问外部链接的东西,然后/var/spool/cron下多了很多tempxxxx.rdb这样的文件,还有.swm,swo文件??? 打开其中的一个rdb文件,又发现了是在远程下载一个sh文件,怀疑这可能是...
SM3 国密使用遇到的问题
shan_xg的专栏
04-03 5210
1、SM3算法使用的大多为unsigned long,在64-windows下占4字节空间,64-linux下占8字节空间    因为这个导致了两个平台下,相同的内容,相同字节序(都是小端),得出的结果不一致    强制使用unsigned int可以得到同样的结果2、网上摘录    嵌入式使用SM3时,会导致结果不一致,由于ARM处理器没有循环左移,把    #define  SHL(x,n) ...
Java国密加密SM3代码
不想成为架构师的程序员不是一个好研发!
07-28 4665
提示使用国密算法的意义随着金融安全上升到国家安全高度,近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖,建设行业网络安全环境,增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。提示以下是本篇文章正文内容,下面案例可供参考。...
国密SM3杂凑算法与实现
热门推荐
goldboar的专栏
11-03 3万+
国密办已于去年公布国产商密算法SM3,http://www.oscca.gov.cn/News/201012/News_1199.htm,这给其应用和开发带来了方便,也见网上有许多实现的例子,出于一个项目开发需要,也试试其实现。        实现思路:完全从头来写不太适合如今开发时代,尤其是开源代码的大量使用。密码算法实现比较有的就是:openssl,其体系庞大,使用也方便。但从学习与研究上
linux crontab 的使用 创建定时任务
felix的博客
12-18 149
Linux 定时 * * * * * : crontab表达式 分别对应: 分钟 小时 天 月 周 [root@localhost ~]# vim /etc/crontab # Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # | | ...
linux cron调度,Linux操作系统定时调度系统Cron深入介绍
weixin_42129797的博客
05-15 433
cron是一个linux下的定时执行工具,可以在无需人工干预的情况下运行作业,本文档不讲cron实现原理,主要讲一下cron的具体使用及简单介绍。新增调度任务推荐使用crontab -e命令添加自定义的任务(编辑的是/var/spool/cron下对应用户的cron文件),退出后重启crond进程,虽然官方文档描述为“crond命令每分钟会定期检查是否有要执行的工作,如果有要执行的工作便会自动执行...
RHEL 5.4中/etc/cron.hourly引起的负载问题
Goolen的专栏
10-25 1422
之前遇到过一个问题,在RHEL系统运行一段时间后,负载不停升高,具体情况看下面截图: 这是一个测试机器,平时我基本不登录,那天登录上去,看到这负载,吓了一跳,这么高的load,还好机器操作不卡, 查了一下,很多如下图的进程: 当时没有太关心这个,把机器重启了接着用 过了几天发现这些进程又多了起来,看来得解决一下 查了一些资料,发现是/etc/cron.hourly 脚本中
CentOS中的cron计划任务配置方法
小乙的学习录
07-21 944
1、crontab命令选项 格式: # crontab -u -u指定一个用户 -l列出某个用户的任务计划 -r删除某个用户的任务 -e编辑某个用户的任务 2、cron文件语法与写法 可用crontab -e命令来编辑,编辑的是/var/spool/cron下对应用户的cron文件,也可以直接修改/etc/crontab文件。具体格式如下: |Minute  H
Linux下的crontab定时执行任务命令详解
weixin_34101229的博客
08-17 952
在LINUX中,周期执行的任务一般由cron这个守护进程来处理[ps -ef|grep cron]。cron读取一个或多个配置文件,这些配置文件中包含了命令行及其调用时间。cron的配置文件称为“crontab”,是“cron table”的简写。 一、cron服务  cron是一个linux下 的定时执行工具,可以在无需人工干预的情况下运行作业。  service crond start   ...
centos7随机添加用户
05-25
可以使用以下命令在CentOS 7上随机添加用户: 1. 首先,以root用户身份登录到CentOS 7服务器。 2. 执行以下命令来生成一个随机用户: ``` username=$(cat /dev/urandom | tr -dc 'a-z' | fold -w 8 | head -n 1) ``` 该命令将生成一个由8个小写字母组成的随机字符串作为用户。 3. 执行以下命令来创建一个新用户: ``` useradd -m $username ``` 该命令将使用刚刚生成的随机用户创建一个新的用户,并将其主目录设置为默认值。 4. 设置新用户的密码: ``` passwd $username ``` 该命令将提示您输入新用户的密码,并要求您再次确认密码。 现在,您已经成功地创建了一个新的随机用户,并为该用户设置了密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值