服务器中病毒清理

最新推荐文章于 2024-05-15 09:03:54 发布
最新推荐文章于 2024-05-15 09:03:54 发布
阅读量146 收藏
点赞数
文章标签: ubuntu ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34874784/article/details/120716882
版权

查看脚本进程号

top c

可以查到不正常的经常为
 1040853


根据进程号检查脚本是否有守护进程,有守护进程的话记录守护进程号

systemctl status 1966

 

找到守护进程号
1151445
1934783

删除脚本守护进程,删除关联文件位置


kill -9 1000959
kill -9 1373036


rm -rf /tmp/X11-unix/

清除脚本并find查找下其他位置是否也存在脚本(注意文件路径)

find / -name systemd-private*

rm -rf .systemd-private-yBe7DfpdIoDC1zjivJstmGECarXGMTSD.sh
rm -rf /opt/systemd-private-KosF6fONbkTbVcljJkxrTVxgnOkVLcj.sh


删除

rm -rf /etc/cron.d/0systemd-private-KosF6fONbkTbVcljJkxrTVxgnOkVLcj

7、开启cron.log日志记录
参考:https://blog.csdn.net/keyunq/article/details/7466202

8、检查hosts和ssh密钥是否有异常(可不做)

9、检查登录IP记录(可不做)
       centos7:  cat /var/log/secure | awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}'
      ubuntu: cat /var/log/auth.log | awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}'
10、定时观察次啊cron日志(可不做)
    grep "systemd-service.sh" /var/log/cron

java知路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
服务器病毒解决方案
04-16
服务器病毒解决方案
服务器病毒清除
qq_41789618的博客
03-07 84
服务器病毒清除
Linux服务器病毒后的清理方法
最新发布
weixin_45625174的博客
05-15 668
" -ls 和 find /usr/sbin/ -iname ".
服务器病毒解决思路
又逢乱世
12-13 2198
1,查看有没有新增的陌生用户 vim /etc/passwd 发现了一个陌生用户 lsb 现在删除这个用户 userdel -r -f lsb 发现删除不了,查看/etc/passwd文件的权限 发现了这个文件被加了隐藏权限 ----ia-------e-- 就是加了隐藏权限,我们需要去除隐藏权限 查看隐藏权限: lsattr /etc/passwd 删除隐藏权限: chattr -i/etc/passwd chattr -a/etc/passwd ...
服务器病毒怎么排除
weixin_35749440的博客
01-11 377
在排除服务器病毒时,首先需要确定病毒的类型。这可以通过运行杀毒软件或在线病毒扫描来完成。 一旦病毒类型确定,可以通过下列步骤来排除病毒: 备份重要数据: 在排除病毒之前,应先备份重要的文件和数据,以防止在排除病毒过程数据丢失。 删除病毒: 根据病毒类型和所使用的杀毒软件的不同,选择相应的排除方法。可以使用杀毒软件来查杀病毒,或者手动删除病毒。 更新操作系统和杀毒软件: 确保操作系统和杀毒...
服务器盗号STUPdater病毒清理.rar
11-05
企业服务器,办公服务器,网吧服务器,担心或已经了木马病毒,运行直接解决
photo.scr病毒清除工具.zip
08-20
今天早上访问网站发现不正常,登录服务器查看,代码都被加了<iframe src=Photo.scr width=1 height=1 frameborder=0></iframe>,并且每个文件夹下都有Photo.scr文件,用这个文件可以清除Photo.scr文件。
服务器ARP病毒的特征及防护说明
01-10
近期有些用户反映服务器上所有网站被插入了病毒代码,但是这些病毒代码 在服务器的源文件上并不能找到,因此,网管想清理病毒也无从下手,这是什 么原因造成的呢? 答:这是近期流行的ARP病毒造成的。 具体地说,就是...
php 清除网页病毒的方法
10-30
这些病毒可能会篡改网站内容、收集用户数据,甚至利用服务器资源进行DDoS攻击。本文将详细介绍如何使用PHP编写一个简单的病毒清除脚本来检测和替换网页的恶意脚本。 首先,我们要了解常见的网页病毒类型。在给定...
qqkavQQ木马病毒专杀工具
11-17
Q病毒专杀工具XP--QQKav是由国内共享软件作者喃哥开发的一款专门查杀腾讯QQ自动发...(网吧版附带广告弹窗屏蔽、服务器时间校正、网吧辅助管理等功能。)提示:本软件界面可以选择是否进行主页修改,可勾选后进行使用。
网站服务器病毒该如何处理,网站被了木马无法删除怎么办? 解决网站病毒的办法...
weixin_36374105的博客
07-31 919
紧急预警“XXCMS整站系统(XXCMS)”官方安装包被植入后门这是我们 前几天在站长网上公布的紧急预警! 但是还是有人招了,服务器了马,导致网站被挂了黑链,我们外星人源码安全小姐紧急响应,马上为其清除木马后门,查杀病毒,没什么太大的算是,服务器没 有被提权,只是被挂了黑链了!应该是试用工具批量挂的!先不管这些了,我们先来看看要怎么样解决问题!首先要找到木马!我们使用D盾扫描了一下:这样就发现...
解决一次服务器病毒被杀的情况
yohoph的专栏
03-15 1840
背景 下午查看服务器的时候,突然发现服务器突然变得很卡。查看进程的时候发现有个叫blil的进程占有大量CPU资源,最高达到CPU60%的资源。 第一步,直接删除病毒和定时启动程序 搜索blil地址,在/etc/下,调用rm -rf /etc/blil删除该文件 清空/var/spool/cron/root内容,解决定时启动的问题。 结果:解决失败,病毒文件会定期生成,并...
java调用服务器报警_Java传输器之无招胜有招
weixin_42421177的博客
02-26 128
前段时间在网上读了一篇有关java传输器的博客Java Stager without the Stager。该文讲述了利用java的jjs组件和Nashorn引擎下载并执行payload,由于该利用程序不含恶意代码因此免疫大部分杀软的查杀,又由于payload在内存编译执行,许多实时防御系统也无法检测到。现将该文翻译如下:最近我一直在研究java,实际上,这是本月出的第三篇博客。博客一这篇文章里...
怎么防止网站被攻击和防止服务器被黑
网站安全专家
07-01 2021
近日,某一客户网站服务器被入侵,导致服务器被植入木马病毒,重做系统也于事无补,目前客户网站处于瘫痪状态,损失较大,通过朋友介绍找到我们SINE安全公司,我们立即成立安全应急处理小组,针对客户服务器被攻击,被黑的情况进行全面的安全检测与防护部署。记录一下我们整个的安全处理过程,教大家该如何防止服务器被攻击,如何解决服务器被入侵的问题。 首先我们来确认下客户的服务器,使用的是linux cent...
服务器病毒以及解决过程
Climber4211的博客
08-14 2596
最近开发服务器卡的动弹不得,平时服务器资源也紧张,也就没往病毒上想,今天打算找下哪个程序影响到了服务器,就输入了: top ,结果发现6个以 .rsyslogds 结尾的程序占了50%的CPU,下意识的感觉莫不是病毒吧,于是就查了下,病毒程序的指向是/usr/sbin目录,然后用 ll命令看了下文件,发现并没有什么异常文件,有一个 rsyslogd 文件 这个是正常的文件,但是仔细比较了一番后,发现指向的文件里面是 .rsyslogds 这样的,伪装了下,所以我用了另外一个命令 ll -al
_Linux上杀毒软件的使用
weixin_39601641的博客
10-21 249
ClamAV介绍 ClamAV是一个可以在命令行下查毒软件,开源(GPLv2)的反病毒工具包。它提供了许多实用程序,包括灵活且可扩展的多线程守护程序,命令行扫描程序和用于自动数据库更新的高级工具。该软件包的核心是一个以共享库形式提供的反病毒引擎。功能ClamAV旨在快速扫描文件。实时保护(仅限Linux)。我们的扫描守护程序支持现代版Linux上的按访问扫描,包括在扫描文件之前阻止文件访问的功能。...
服务器了挖矿病毒的检测及删除方法(如dhpcd,kdevtmpfs等)
热门推荐
阿拉修
01-10 1万+
最近一段时间,公司内网的linux服务器无故CPU占用很高,导致系统缓慢,严重影响研发部的正常工作。 经排查是部分linux服务器了挖矿病毒,该病毒占满cpu进行挖矿,导致系统缓慢。 现将清除挖矿病毒的步骤梳理如下: 1. 检测服务器是否有挖矿病毒 使用top命令查看进程及占用cpu百分比, 如果该进程名称为随机字符串,且cpu占用非常高,则可能感染了挖矿病毒,见如下截图。 2. kill 病毒进程id kill掉CGroup的所有进程id systemctl status 病毒进程id 3. kil
网站服务器病毒或被***怎么办?
weixin_34258838的博客
08-23 265
网站服务器毒或被***,用户访问网站时自动下载病毒,杀毒软件弹出病毒的提示。还有的网站只是被篡改,在网站代码加入很多链接,不容易发现。 网站服务器毒或被***以下几种情况导致的:第一种情况:网站存在文件上传漏洞,导致×××可以使用这漏洞,上传×××文件。然后×××可以对该用户网站所有文件进行任意修改,这种情况比较普遍。针对这种情况, 用户需要找技术人员。检查出网站漏洞并彻底修复,并检查看网站...
clamav更新病毒库报错
09-08
4. 存储空间不足:clamav更新病毒库时需要将新的病毒库文件存储在磁盘,如果磁盘空间不足,就会导致更新失败。可以清理磁盘空间或者增加存储容量后再进行更新。 在解决clamav更新病毒库报错时,可以尝试先检查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java知路

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值