后门程序攻击之linux系统root用户被黑

最新推荐文章于 2024-04-02 17:12:52 发布
最新推荐文章于 2024-04-02 17:12:52 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: linux 文章标签: linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33719894/article/details/78604602
版权

     

 
 
linux服务器异常重启,发现系统里面多出很多看不懂文件,几天后root用户被黑,登入不了。 处理过程:
 
1. 进入linux单用户模式进行重置密码。详细见百度百科: https://jingyan.baidu.com/article/7e440953f87f4a2fc0e2ef90.html
    (修改成功后,登入root依然失败)
 
    2. 单用户模式进入目录  /etc/inittab  把 id:3:initdefault:   #使用5代表桌面模式,3代表命令模式
(修改成功后,登入root后输入密码,又出现一个登入)
 
    3.  /etc/securetty文件 查看有没有限制root登入  
正常的/etc/securetty文件内容:
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11

(查看后没发现问题)

    4. /etc/ssh/sshd_config 查看文件是否有限制root登入命令
                PermitRootLogin no  请改成 PermitRootLogin yes
(查看后没发现问题)
 
 5./etc/pam.d/  查看文件是否有限制root登入命令 
 
6 .怀疑ssh服务没开,实际上重启linux自动打开默认的22端口可以访    问
 
7.grep :x:0: /etc/passwd  执行该命令,查看是否有新建root权限用户
发现有2个
一个是root 一个是servlet 
确定系统被入侵 
 
8.单用户模式把passwd文件servlet用户删除。
 
9.修改 /etc/sudoers 文件,找到%wheel一行,把前面的注释(#)去掉,把servlce ALL=(ALL)  ALL 这行删除。
 
10.passwd文件被侵入导致换行符变成了DOS格式(正常是unix格式),结果linux系统认为shell路径是/bin/bash^M,返回路径不存在错误,导致了root无法登录。 把passwd文件下^M全部删除。
 
11.重启reboot.  root用户用我们改的密码登入成功。
 
12.发现系统很多入侵的异常文件。
 

13.准备把服务器数据 日志  等导出后重装系统。

后续发现原因: 系统后台密码被破解  密码太过简单  建议密码设置14位以上多重组合密码。测试服务器也要保证安全。

架构版本低,存在漏洞。

 

 
山川之水
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 杀毒软件发现的漏洞可使得客获得 root 权限
snow2know的博客
02-23 1412
导读 McAfee VirusScan Enterprise for Linux 版本中的远程代码执行缺陷,使客可以获得 root 权限,安全研究人员称只需欺骗该 app 使用恶意更新服务器即可实现。 Linux 安全软件发现的漏洞可使得客获得 Root 权限 来自 MIT Lincoln Laboratory 的 Andrew Fasano 在他的帖子中提到,他
历数Linux服务器问题及应对措施
mmdev
10-03 142
本文给大家讲解了关于linux服务器的解决方法。其中的讲到了“root kits”或者流行的刺探工具占用了你的CPU,存储器,数据和带宽的问题。   平时会有一些朋友遇见服务器的问题,经过搜集和整理相关的相关的材料,在这里本人给大家找到了Linux服务器的解决方法,希望大家看后会有不少收获。如果你安装了所有正确的补丁,拥有经过测试的防火墙,并且在多个级别都激活了先进的入侵检测...
应急响应实战笔记——权限维持篇:④ Linux权限维持&后门
最新发布
君逍遥o
04-02 1002
首先启动的是/usr/sbin/sshd,脚本执行到getpeername这里的时候,正则匹配会失败,于是执行下一句,启动/usr/bin/sshd,这是原始sshd。这个子进程,没有什么检验,而是直接执行系统默认的位置的/usr/sbin/sshd,这样子控制权又回到脚本了。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。如果匹配成功就可以登录了。
苍了个天,记一次Linux(被)入侵......
李肖遥的专栏
09-22 615
关注、星标公众号,直达精彩内容来源:Hefe 看雪学院ID:技术让梦想更伟大整理:李肖遥0x00 背景周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点...
Linux服务器
Richardlygo的博客
09-30 1278
一不留神而被确实让人感到为难,更严重的是某些脚本小鬼还会下载一些众所周知的”root kits”或者流行的刺探工具,这些都占用了你的CPU,存储器,数据和带宽。这些坏人是从那里开始着手的呢?这就要从root kit开始说起。 一个root kit其实就是一个软件包,客利用它来提供给自己对你的机器具有root级别的访问权限。一旦这个客能够以root的身份访问你的机器,一切都完了。唯一可以做就...
记一次linux(被)入侵
LuckyTHP
06-08 2254
    0x00 背景 周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云冻结了,理由:对外恶意发包。我放下酸菜馅的包子,ssh连了一下,被拒绝了,问了下默认的22端口被封了。让运维的同事把端口改了一下,立马连上去,顺便看了一下登录名:root,还有不足8位的小白密码,心...
排查深藏在Linux中的RootKit后门.pdf
09-06
RootKit 后门的危害性非常大,因为它们可以轻松地获得系统底层的控制权,劫持用户所要运行的程序或数据,讓客预设的不法程序获得运行权,来扰乱系统的正常运行。 三、防御 RootKit 后门的方法 防御 RootKit 后门...
浅谈Linux操作系统安全防范策略.pdf
09-06
后门程序防范主要就是使用LIDS和Chkrootkit。 Linux操作系统安全防范策略是一个复杂的过程,需要从系统启动和登录安全性、限制网络访问、Linux病毒防治、防止攻击和安装补丁等多方面进行防范。只有通过这些防范策略...
Linux入侵常用命令之防客示例代码
09-15
Linux入侵常用命令之防客示例代码】这篇文章主要探讨了在Linux环境下,客可能使用的攻击手段以及如何防止这些攻击。以下是对文章中涉及的知识点的详细解释: 1. **PHP一句话后门**: 客可能会通过上传包含...
Linux系统的各种后门和日志工具详细介绍
03-04
Tunnel的意思是隧道,通常HTTPTunnel被称之为HTTP暗道,它的原 理就是将数据伪装成HTTP的数据形式来穿过防火墙,实际上,它...Rootkit出现于二十世纪90年代初,它是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。
红队测试之Linux提权小结1
08-03
Linux内核提权漏洞为例,如著名的“脏牛”漏洞,它暴露了Linux内核的内存管理问题,允许攻击者从低权限用户提升到root权限。检测和利用这些漏洞的工具,如`linux-exploit-suggester`,可以帮助安全研究人员或攻击...
linuxroot权限留后门,linux下获取root权限后安装后门程序rootkit
weixin_29148445的博客
05-16 329
来源www.linuxso.com1.首先是获得远程服务器root权限,当然这是必须的。2.然后下载rootkit程序,本文用到的是mafix,可以点击下载,也可以到附件中去下载。下载前做好把杀毒软件关掉,基本上汇报毒的。3.开始安装tar zxvf mafix.tar.gzcd mafix./root rootkit345 (其中rootkit为你连接后门程序时的密码,345为连接的端口)...
Linux解决root无法登录
思维小刀
01-15 7331
linux系统,修复root密码,日志跟踪
fjfdszj的专栏
11-28 4020
 场景描述:       异常现象发生:用原先的系统用户密码,无法登录系统.后跟踪日志发现密码被修改. 问题处理:       可用类似于忘记linuxroot用户密码方式,解决该问题       可参考:<a onmousedown="function onmousedown(){event.cancelBubble=true;}" href="http
centos root被禁止登陆nologin
xuelianbo的专栏
06-08 2528
linux 忘记密码用户模式
root后启动不了域,root激活
weixin_44884047的博客
01-13 2197
(电脑) 复制 ".\adb -d shell sh /data/data/me.piebridge.brevent/brevent.sh"(没有引号),然后粘贴到第3步弹出的窗口中,然后点回车。(电脑) 解压“platform-tools-latest-windows”,进入“platform-tools”目录,在空白处按住shift键,点击鼠标右键,选择“在此处打开命令窗口”,这时会自己跳出abd窗口。配置域,按住某个应用,点击选择,再点击右上角的带斜杠圆形这时该程序就被域了,更多功能介绍见设置。
linux系统登录屏,SUSE Linux登录时屏解决办法
weixin_42467896的博客
05-17 2827
我采用的virtual pc虚拟机,安装RedHat enterprise 4 linux,安装后出现花屏,通过GRUB的单用户模式下修改/etc/X11/xorg.conf文件的分辨位。看到zthenry发帖问SUSE安装后登录屏,我想与/etc/X11的分辨率、刷新率设置有关系。建议可以采用如下方法试试:1、在启动时,GRUB上GRUB引导命令后面加上一个VGA=791,这样进去屏幕分辩率就...
Linux设置以root用户开机自动登录桌面
AllenYu的博客
07-30 6105
目录 Ubuntu 18.04系统下设置 Redhat7.6系统下设置 Ubuntu 18.04系统下设置 1、 允许使用root用户登录桌面 Ubuntu默认不允许使用root用户登录桌面的,首先需要进行如下配置 编辑/usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf将该文件的配置修改成如下 [Sea...
CS后门是什么,是怎么被利用攻击
05-26
CS后门(也称为Client-Server后门)是一种恶意软件,常被客用于攻击和控制受害者的计算机。这种恶意软件利用了计算机系统中的安全漏洞,使客能够远程访问受害者的计算机,并获取敏感信息、操纵文件、监控活动等。 攻击者通常通过电子邮件、社交媒体等方式将恶意软件发送给用户,或者通过利用系统漏洞进行远程攻击。一旦安装了CS后门客就可以通过通信端口与受害者的计算机进行远程通信,使其具有完全的控制权。 具体来说,客可以使用CS后门来执行以下操作: 1. 控制文件:客可以修改、删除、上传、下载文件,以及在受害者计算机上执行任意代码。 2. 监视用户活动:客可以监视用户的屏幕、键盘记录和网络流量,以获取敏感信息。 3. 窃取密码客可以使用CS后门来窃取用户的登录凭据,以便访问他们的在线账户。 4. 传播其他恶意软件:客可以使用CS后门来传播其他恶意软件,以进一步攻击其他系统。 为了保护计算机免受CS后门攻击用户应该避免下载和安装未经验证的软件,及时升级系统和安全软件,定期备份重要数据,并且保持警觉,警惕钓鱼邮件和其他社交工程攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值