如何处理linux恶意程序

已于 2022-12-30 17:04:36 修改
阅读量1.5k 收藏 3
点赞数 2
分类专栏: linux 文章标签: linux 运维 服务器
于 2020-02-16 19:35:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31555951/article/details/104347055
版权

如何处理linux恶意程序

一、准备实验环境SYN洪水攻击

一台Windows Server 2003做控制端、一台linux服务器做被控制端(肉机),使用软件如下:

点击生成器输入控制端的IP生成木马文件txma,10771是控制监控程序,如果有被控制端上线立马可以在控制台发现,将txma上传到linux服务器,设置可执行权限并运行此木马,结果如下:
被控制端:将txma上传到linux服务器,设置可执行权限并运行此木马

注意 id是闲置的cpu
控制端:有肉机上线发起攻击设置攻击的服务器ip和端口

二、肉机上线发现清除木马进程
  • top 命令

    可以发现id是0 CPU可用是0,有个进程txma PID 2187使用的CPU过多异常情况
    可以使用killall tama 或者 kill -9 2187
  • netstat -natp 命令

    可以发现linux服务器开启一个本地异常端口连接另一个IP的端口
    此时也能确认PID是2187,可以使用kill -9 2187
  • 清除木马文件
[root@k8s-master ~]# find / -name "*txma*"  
/root/txma  
/usr/bin/txma  
/usr/local/bin/txma  
[root@k8s-master ~]#

查到木马文件进行删除

三、清除木马自动复活点
  • 使用crontab计划任务复活木马
    crontab -e 也可以在cat /var/spool/cron/root查看 #注意 这是用户计划任务要查询每一个用户的
    cat /etc/crontab 这是系统计划任务 #注意 格式需要指明那个用户执行
  • 系统自启动复活木马
    在/etc/rc.local 文件中添加木马启动命令,这个文件在开机后会执行
  • 一些自动加载的文件复活木马
    /etc/profile #所有用户登录系统时自动执行此文件,木马复活下载运行可以放到这里;
    .bash_profile用户家目录下面的 #当前此用户登录系统会执行,木马复活下载运行可以放到这里 ;
    /etc/bashrc #所有子shell都会执行此文件,木马复活下载运行可以放到这里 ;
    .bashrc 用户家目录下面的 #当前此用户子shell会执行,木马复活下载运行可以放到这里 ;
    注意文件的扩展属性:
    chattr +i 文件名 #文件只读
    lsattr #查看
  • rootkit后门复活木马
    rootkit后门是用户执行常用的命令时候,复活木马程序,此时系统命令被感染。
    一般是合并木马文件和命令文件、或者写脚本关联使用软连接到命令
    例如:
    cat txma /usr/bin/ps >> ps1
    which ps 把ps1 软连到ps
四、 断木马下载的后路

linux系统不安装下载的命令 例如:curl wget等

五、删除木马创建的用户

userdel -r 用户名 #如果删除不了是因为此用户有运行的进程,需要kill此用户的所运行的进程

六、添加微信公众号一起进步

资料下载 https://download.csdn.net/download/qq_31555951/12162212
在这里插入图片描述

运维打怪晋级之路
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
10991-10771linux木马和后门程序&linux异常处理.rar
10-15
测试网络恶意程序的攻防,和删除异常程序,网络不知攻燕之坊,资源没有解压密码,请放心绝对安全,建议内网测试使用。 如何处理linux恶意程序?五个步骤彻底清除木马 里面有具体操作步骤和工具
操作系统之文件管理:1、初识文件管理
千寻瀑
10-11 493
1、初识文件管理思维导图文件的定义关于文件系统我们要讨论的几个问题?1、文件属性2、文件内部的数据组织形式(存储结构)3、文件之间的组织形式4、操作系统向上层提供的接口(功能)5、文件如何存放在外存?(物理结构)6、其他文件管理功能 PS:本篇仅是概述,对文件系统的初步介绍,有需要请看链接博客 思维导图 文件的定义 文件:一组有意义的信息/数据的集合 关于文件系统我们要讨论的几个问题? 1、文件属性 2、文件内部的数据组织形式(存储结构) 本质上来看:文件内部数据的组织形式其实就是文件的逻
溯源(三)之Linux-入侵排查
qq_44005305的博客
03-12 767
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
linux关闭恶意程序,如何使用命令行对无文件恶意软件进行取证
weixin_34651547的博客
05-02 437
前言在最近的几年,Linux面临的一个日益严重的威胁—-基于无文件落地型的恶意软件。无文件恶意软件是指将自身注入到正在运行的Linux系统中,并且不会在磁盘上留下任何痕迹。现在已经有多种手法可以实现无文件攻击:1.执行二进制文件后从磁盘删除自身。2.在不写入磁盘的情况下直接将代码注入正在运行的服务器(例如,在PHP服务器通过易受攻击的输入来运行PHP代码)。3.使用诸如ptrace()之类的系统调...
解决-linux服务器被执行恶意脚本代码
WHJwhj552200的博客
11-18 1018
删除root的定时任务后,发现进程又重启了(用户是nobody),所以需要删除其他用户的定时任务。这是所有用户crontab文件存放的目录,以用户名命名。crontab -e:编辑并删除定时任务代码。但是发现杀死进程后,它又重新启动,所以应该是使用了定时任务。命令:crontab -l :查看定时任务代码。直接删除某个用户的定时任务文件即可。发现并不是执行某个程序占用资源。
linux】僵尸进程(Defunct进程)的产生与避免
指错||纠正||建议||水评+点赞&&评论&&关注&&转发,在这里你大概率会有所收获
06-08 2302
在UNIX 系统中,一个进程结束了,但是他的父进程没有等待(调用wait / waitpid)他,那么他将变成一个僵尸进程。当用ps命令观察进程的执行状态时,看到这些进程的状态栏为defunct。僵尸进程是一个早已死亡的进程,但在进程表(processs table)中仍占了一个位置(slot)。但是如果该进程的父进程已经先结束了,那么该进程就不会变成僵尸进程。因为每个进程结束的时候,系统都会扫描当前系统中所运行的所有进程,看看有没有哪个进程是刚刚结束的这个进程的子进程,如果是的话,就由Init进程来接管他
Linux系统下已经设置只读文件还是被修改的解决办法
wwwwestcn的博客
12-23 908
这种情况一般是黑客利用了php中的chmod函数来调整了权限修改 解决办法: 从控制面板中-切换php版本为php5.3/5.4/5.5 再从文件管理中进入others目录修改php.ini文件,在 disable_functions设置中添加chmod 以禁止这个功能 原文链接:https://www.west.cn/faq/list.asp?unid=925 ...
Linux下各种特殊进程
田一一
08-28 192
Linux下各种特殊进程1. 孤儿进程1.1. 产生原因1.2. demo实现2. 僵尸进程2.1. 产生原因2.2. demo2.3. 子进程如何查看2.3.1 使用top查看僵尸进程2.3.2. 从ps中查看僵尸进程2.4. 如何避免僵尸进程3. 守护进程3.1 什么是守护进程3.2. 创建守护进程步骤3.3. demo 1. 孤儿进程 1.1. 产生原因 父进程结束,子进程还再运行,成为孤儿进程。 孤儿进程会被init所领养,init进程会变为孤儿进程的父进程,为了能够释放子进程所占用的资源 使用p
linux杀死进程的五种方法(kill)
热门推荐
weixin_40673765的博客
11-18 2万+
linux杀死进程的方法
Linux操作系统基础教程
04-08
([email protected])写了 Linux核心程序的 0.02 版开始的,但其后的发展却几乎都 是由互联网上的 Linux社团(Linux Community)互通交流而完成的。Linux 不属于任何一 家公司或个人,任何人都可以免费取得...
学习《深入理解程序设计 使用Linux汇编语言》的代码.zip
最新发布
04-20
- **调试挑战**:由于代码高度依赖具体的硬件状态,调试汇编程序可能非常困难,尤其是在处理复杂的控制流、数据依赖性和异常处理时。 6. **工具支持**: - **汇编器**:汇编语言源代码通过汇编器(assembler)...
McAfee VirusScan DAT 4389 for linux
03-09
McAfee防毒软件, 除了操作介面更新外,也将该公司的WebScanX功能合在...附注:4.0.1版采用Dr Solomon's virus引擎,并且新增了侦测恶意的Java Applet和ActiveX程序的功能,介面也焕然一新。请记得病毒码是要经常更新的!
Java课程实验 编写 Spring Boot 入门程序
07-07
Java是一种广泛使用的高级编程语言,由Sun Microsystems于1995年...Java被广泛应用于Web应用程序开发、移动应用程序开发(使用Android平台)、大数据处理、企业级应用程序等领域,是一种非常流行和使用广泛的编程语言。
店盟淘客程序
04-07
对各种恶意的注入、跨站攻击等都有防御手段。 6. 免费开源升级无忧 程序代码开源并提供免费升级。简单易用,容易进行二次开发。做一个有技术支持的纯粹免费淘宝客程序。 【6.2更新】 1.进一步优化缓存删除机制,...
多奥淘宝客程序 V6.2.rar
07-07
对各种恶意的注入、跨站攻击等都有防御手段。 6. 免费升级无忧 程序源码提供免费升级。简单易用,容易进行二次开发。打造有技术支持的免费淘宝客程序。 【6.2更新】 1.进一步优化缓存删除机制,默认每天5点-6点...
【转】记一次Linux木马清除过程
tpriwwq的专栏
10-07 1370
Linux下一次典型的木马清除过程 包含很多实用技巧,运维必备
linux 查找恶意脚本,【技术分享】看我如何查找并解码恶意PowerShell脚本
weixin_30641597的博客
04-30 583
预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、前言PowerShell的身影无所不在,我最近也遇到过越来越多的恶意PowerShell脚本。为什么攻击者热衷于使用PowserShell?因为许多Windows版本中都会自带这个工具,并且该工具可以访问WMI以及.Net Framework的全部功能,也能在内存中执行恶意代码以逃避反病毒软件的查杀,对了...
Linux系统病毒木马排查清除方法
yeyiboy的博客
05-04 3248
Linux: 1.检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) 注:此时last命令也有可能变得不可靠,需要检查 --------------------- 2.检查系统用户 查看是否有异常的系统用户 [root@yeyiboy-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [root@yeyiboy-IDC ~]# grep “0” /etc/passwd 查看p.
linux c语言https请求java程序
05-09
Linux C语言和Java程序可以通过HTTP请求进行通信。而为了保证通信的安全和加密性,我们通常会使用HTTPS请求。那么这个过程该如何实现呢? 首先,我们需要理解HTTP请求和HTTPS请求的基本原理。HTTP协议是基于明文...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值