Linux木马清理记录

原创 2018年04月17日 15:53:25

半夜阿里云短信提示有文件异常下载。

早上登录阿里云一看,全是安全警告消息:服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:XX)的访问

服务器被入侵,并当做肉鸡了...

登录服务器发现cpu占用量大的进程,很不对经

病毒文件名:2t3il.p、ddgs.3011 (一看就不是什么正经的进程名,ddgs.3011是后来发现的)

find / -name 2t3il.p 查找文件所在路径,发现在/tmp下,ddgs.3011也在/tmp下

试着用crontab -l 查一下定时任务,果然发现了些东西

用浏览器打开了上面的地址,好家伙,原来上面那两个病毒文件是在这下的,还创建了2个定时任务

先清掉这两个定时任务,再删掉 /tmp 下的两个文件

可还是没效果...

最后重启了服务器,终于没再发现病毒了


linux 木马清理过程

http://mp.weixin.qq.com/s?__biz=MzA4Nzc4MjI4MQ==&mid=401028869&idx=1&sn=fb40e2d0f353c8cf3353cc3a6352...
  • u011537073
  • u011537073
  • 2015-12-11 22:02:21
  • 2462

记录一次linux病毒清除过程

Linux 木马清除
  • heivy
  • heivy
  • 2016-01-13 09:37:05
  • 1743

彻底清除Linux centos minerd木马

由于用的是临时服务器,安全性上疏忽了,导致受到了minerd木马攻击,清理的时候,遇到了ntp这个很具有迷惑性的服务,费了一番功夫才敢彻底清理。 现状描述 ...
  • u013589865
  • u013589865
  • 2016-12-22 17:29:15
  • 492

一次Linux服务器被入侵和删除木马程序的经历

本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很...
  • yuanfeng78790
  • yuanfeng78790
  • 2016-02-06 10:35:09
  • 6799

清除wnTKYg 这个挖矿工木马的过程讲述

由于工作需要,我由一个专业java开发工程师,渐渐的也成为了不专业的资深的运维工程师了。感慨一番,书归正传,下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU...
  • u010789532
  • u010789532
  • 2017-04-23 17:41:50
  • 6762

Linux清除木马minerd

minerd是什么今天突然发现cup使用率一直都很高,高达100%,查看后发现多了minerd这个进程,将其kill掉后,过一会还是存在 步骤: 1.删除定时任务的内容 crontab -e ...
  • juan083
  • juan083
  • 2016-08-02 15:28:36
  • 3109

Linux下 XordDos(BillGates)木马查杀记录

最近朋友的一台服务器突然网络异常,cpu占用率暴表,登录上去一查,cpu占用300% 左右,流量异常,经过看查进程,获取信息最终确认为中了dos木马,经过几天的研究,基本上已经清除,以下是清理记录。 ...
  • rigous
  • rigous
  • 2017-06-30 11:41:20
  • 942

CentOS7清除wnTKYg木马

今天偶然发现服务器cpu占用率一直是100%,top查看了发现是一个名为wnTKYg的进程。 网上查找说是一个挖矿木马,清理之后做个记录。 木马如下图: 尝试pkill -9 wnTKY...
  • zimou5581
  • zimou5581
  • 2017-06-11 20:34:59
  • 4677

Linux之在CentOS上一次艰难的木马查杀过程

今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程。 我让他关闭...
  • xpb1980
  • xpb1980
  • 2017-08-03 19:40:35
  • 716

Unix.Trojan.DDoS_XOR-1、Linux.Trojan.Agent(Linux.BackDoor.Gates.5)木马清理

一、现象 Linux服务器被黑, 向外疯狂发包,造成网络瘫痪。nload显示100Mbit/s。(nload统计流量软件) 二、木马扫描 1、ClamAV介绍 ClamAV是一个在命令行下查毒软件,因...
  • xishuang_gongzi
  • xishuang_gongzi
  • 2015-10-30 13:53:07
  • 5783
收藏助手
不良信息举报
您举报文章:Linux木马清理记录
举报原因:
原因补充:

(最多只允许输入30个字)