Trojan:DbSecurity 木马的查杀过程

最新推荐文章于 2021-05-26 08:52:28 发布
最新推荐文章于 2021-05-26 08:52:28 发布
阅读量529 收藏
点赞数
分类专栏: hacker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onlyellow/article/details/51089393
版权

本人手上有一台拥有外网IP的CentOS7服务器。今天照例登陆进行作业,发现敲个命令的卡顿卡顿的。

于是顺手top看看,我了个草:java.log 这个进程CPU占用率高达 90%


... wait... java.log是个什么鬼,我不记得最近有用到java的地方啊。于是ps看看这个进程启动路径:/tmp/java.log


再ls -l看看这个java.log:  尼玛,777的权限。到这里基本可以肯定+ 确定:中招了



先killall java.log,可以杀掉。 但是这么容易能叫Trojan么,果不其然,不出几秒钟,ps又可以看到它起来了。

再杀/tmp/java.log这个agent,果然没这么容易被删:

rm -rf  /tmp/java.log

Permission Denied

蛋疼的只好又去google:为啥root都删不掉呢。

学习了个新的命令:chattr +i  filename

再检查下java.log, 果然是这么回事~

去掉i属性,顺利删了~


就这么结束了?Too Simply too naive,  等了几秒钟,java.log进程又回来了。

我了个大草。


直接ps -Al 查看java.log的父进程,发现了这么个玩意:.sshd

这。。。怪不得我检查/usr/bin下面的目录的时候  没发现啥多出来的玩意。

找到就好办:杀杀杀


杀完了,再去/etc/rc*目录下检查,果然一堆启动项。


用find 命令,全杀了:



好了,至此,java.log至今没有被恢复,基本可以认为杀干净了。


检查/var/log/secure发现巴拿马/韩国 IP试图ssh我的服务器,不是代理就是肉鸡。


写个hosts.deny暂时屏蔽它。我也想过用hosts.allow白名单是不是更安全,但是很多同事想从家里链接,没法一个个添加白名单,所以还是算了~


(其实可以走代理访问,这样比较安全~等有空我研究下ssh端口转发)


onlyellow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
木马查杀专家(Look Trojan Stop) 2005 Build 0913
03-15
一款功能强大,并同时拥有反木马、反间谍和反病毒功能的木马病毒查杀工具,采用全智能化的木马病毒查杀方式,从木马病毒的查杀,到电脑系统的修复,它让您轻松完成,独创的木马病毒分析检测技术让它拥有非凡的扫描...
木马查杀工具.zip
02-08
在网络安全领域,木马查杀工具是至关重要的。标题中的"木马查杀工具.zip"表明这是一款专门针对木马病毒的防护软件,而“火绒”是这款工具的名称,它具有高度的专业性和针对性。描述中提到,火绒木马查杀工具是一款轻...
MYSQL 8 的 DB security 怎么应对安全部门的 bulabula
sql server的专栏
09-12 119
MYSQL 8 的 security 的确是和MYSQL 5.7 不大一样,但具体怎么弄到底和MYSQL 5.7 有什么不一样,还是的搞一搞。什么 还在使用MYSQL 5.6 ,5.5...
DB SECURITY
cuanpei8570的博客
12-01 87
Are the Guardium and GreenSQL deals precursors to the WAF market?By Ofer Shezaf - Posted on November 29th, 2009 Ta...
Linux 一次***病毒***排查( DbSecuritySpt)
weixin_34166472的博客
12-16 1080
刚入职一家公司,突然一台直接扔到公网的开发测试机,出现output流量暴增300M+,直接导致服务器负载飙高,IDC的cacti监控报告了流量异常问题,下面是排查过程:1、vim /root/.bash_history # 查看root用户操作命令记录文件,任何信息没有,被清楚2、vim /var/log/secure # 查看登录日志,发现好多登录失败尝...
一次Linux服务器被入侵和删除木马程序的经历
烂笔头的博客
02-06 1万+
本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面
HwsKill木马查杀工具.rar
08-18
HwsKill木马查杀工具是一款专为应对名为HwsKill的特定木马而设计的安全软件。HwsKill木马可能通过各种渠道,如钓鱼邮件、恶意下载链接或捆绑在其他软件中,悄无声息地侵入用户的计算机系统,威胁用户的数据安全和...
征途木马查杀工具源代码
10-21
《征途木马查杀工具源代码解析与学习指南》 在网络安全领域,木马查杀工具扮演着至关重要的角色,它们是防范恶意软件侵袭的第一道防线。本篇文章将深入探讨“征途木马查杀工具”的源代码,旨在为开发者提供一个学习...
安全相关-病毒防治-trojan remover(木马查杀) v6.zip
08-12
《全面了解Trojan Remover:木马查杀利器》 在当今的数字世界中,网络安全是每个用户都必须关注的重要话题。尤其是对于个人电脑和企业网络而言,病毒、木马等恶意软件的威胁无处不在。本文将详细介绍一款专注于木马...
新型病毒向下载成人游戏的用户勒索赎金
为祖国健康工作50年
04-17 790
一种新型病毒正在使用一种令人吃惊的新策略让不幸被感染的用户寝食难安。这种名为 Kenzero的病毒是从日本传播出来的,目前仍处在传播的早期阶段。这种病毒的感染对象是拥有大约2亿用户的Winni文件共享服务的用户。 当Winni用户利用这个网站下载盗版的成人游戏的时候,他们的PC就会被 Kenzero病毒感染。这个病毒就会复制用户的网络浏览历史并且在网络上公开发表,让大众都可以看到。Kenzero...
Root安卓用户警惕,超级病毒现身Google Play
weixin_33728268的博客
07-04 240
目前,一款名为Xavier的木马病毒现身Google Play,将影响已经获取Root权限的安卓设备。 由于该病毒没有出现明显的恶意代码,所以他能通过谷歌的审核进而上架Google Play。一旦设备遭到感染,Xavier便会从服务器下载和自动在后台运行恶意代码,也就是说用户是毫不知情的。更为甚者,即使是通过特殊手段,也不能检测到该病毒。 该病毒主要...
android 执行病毒,警惕安卓手机病毒Android/Fakeapp.ox
weixin_39761880的博客
05-26 2041
国家计算机病毒应急处理中心通过对互联网的监测发现,近期一种感染安卓手机的病毒Android/Fakeapp.ox出现。该病毒捆绑在应用程序中,并私自下载安装其他软件,在手机桌面上创建大量推广应用快捷方式,点击即自动下载安装,使得用户手机无法正常使用,严重的造成用户手机流量等资费损耗。经分析发现,在病毒执行完安装后,会创建桌面快捷方式,点击出现提示安装;从病毒代码中获取应用软件地址信息并自动下载;从...
Trojan/Android.GDownload.jw[exp,gen] 病毒报警解决方案
热门推荐
believer123的专栏
03-05 2万+
去年12月份开始,我的个人app记忆空间就被华为应用市场报病毒了,而且非常突然,之前都是好好的,突然报毒打得我猝不及防。 华为市场提供的信息如下: 你好,你的应用审核复测 应用经手机管家检测为风险软件,存在中等风险;无法上架; 是不是很坑,在使用华为手机进行验证才得知是病毒Trojan/Android.GDownload.jw[exp,gen], 看得我一脸懵逼,因为对病毒处理这块没有太多的...
一次被入侵和删除木马程序的经历(转)
极客海哥
11-21 3380
首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称 Linux.BackDoor.Gates.5 http://forum.antichat.ru/threads/413337/ 首先是下午14点左右有几台服务器出现流量超高,平时只有几百M的流量,那时候发现流量上G了,达到这个量第一感觉就是遭受了DDOS流量攻击
2020-04-09
weixin_46926232的博客
04-09 635
在HTML文档中,有一个图片与一个按钮【切换图片】,默认显示的图片是: https://www.baidu.com/img/bd_logo1.png 当点击【切换图片】按钮时,图片变为 https://www.linshixin.com/wx/pics/hzcc.jpg 请写出完整的HTML+JS代码 大佬帮帮我 ...
解决centos netstat和ps感染木马
黄贺群的专栏
08-13 8528
2015年01月26日 ⁄ LINUX服务器设置 ⁄ 共 877字 ⁄ 暂无评论 ⁄ 被围观 784 views+ 解决方法: a.去除恶意文件的执行权限 chmod 000 /tmp/gates.lod   /tmp/moni.lod     service sendmail stop chkconfig --level 345 sendmail off chmod -x  /usr
智能一代云平台(十六):解决Linux服务器被植入木马总结
通往精英的成长之路
03-12 2万+
【前言】 继上次Redis服务器被劫持风暴(高校云平台(十三):Redis服务器被劫持风波)过后十多天后,病毒对我们总是恋恋不舍,又一次的来到我们身边;有了上次的经验后,这次处理起来虽然也有些波折,但是相对来说迅速很多;下面是这次解决的整体流程,希望会对读者有所启发。 【跌宕起伏研究之路】 一、发现病毒: 1、被通知: 201...
cenos 、DDOS攻击
weixin_43200106的博客
06-12 144
一、有无下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port ls /usr/bin/dpkgd 二、查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh /usr/sbin/lsof ls -lh /u...
木马查杀深度剖析:从扫盲到自启动项
木马查杀是对这些隐藏的恶意程序进行检测和清除的过程,对于网络安全至关重要。 深度剖析木马查杀涉及多个方面: 一、木马查杀扫盲篇 首先,了解木马的基本概念和工作原理是基础。木马通常通过网络下载、电子邮件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值