Linux中木马如何处理

已于 2022-05-12 15:50:39 修改
阅读量1.5k 收藏 4
点赞数
文章标签: 服务器 运维
于 2022-05-12 12:43:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rqaz123/article/details/124728737
版权

如果是Linux服务器中了病毒,那么如何发现病毒并且清楚该病毒呢,我这边说说我的一些处理的大概思路吧。

1、注意备份数据,运维首先想到的是数据得安全性,一般情况你要注意这台中病毒的是app应用、文件、还是数据库服务器,注意数据的安全性,我习惯性是会将数据或者程序文件等等先临时传输到另外一台临时的服务器,或者其他目录;

2、 分析是什么异常进程,有的病毒ps命令可以看,如果病毒是挖矿程序等通常都是rookkit伪装成内核进程,一般命令看不了;

3、netstat查看异常链接;

4、iftop等查看服务器流量等,一般服务器都会有监控软件,注意服务器CPU,内存,流量等监控;

5、如服务器安全扫描软件等辅助扫描;

6、clamav开源杀毒软件辅助;

7、有时候系统中病毒,有些命令会被替换,导致你发现不了异常进程;

8、注意分析系统日志,和应用日志。

综合以上来综合分析。

教你处理Linux挖矿木马

处置分析

挖矿程序只执行进程查杀,没有办法达到根除的效果。

1. 因为挖矿木马会有定时的脚本任务,即使清除了进程,但定时任务执行,进程仍会重新激活。

2. 中断进程只是关闭进程的操作,挖矿进程文件仍然能够在本地重新运行。不删除进程文件,没有办法达到清除的效果。

3. 木马进程能够无声无息进入服务器,证明服务器很可能被攻陷,需要将服务器与恶意连接的地址进行阻断,并修改本地的管理员密码,防止挖矿进程被清除后,黑客重新连接服务器重新植入木马。

处置过程

整理完思路后,则需要整理下一步处置我们需要收集的信息。

1. 挖矿进程确认;

2. 木马网络连接;

3. 挖矿木马文件;

4. 相关的定时任务。

rqaz123
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
一次被入侵和删除木马程序的经历(转)
极客海哥
11-21 3383
首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称 Linux.BackDoor.Gates.5 http://forum.antichat.ru/threads/413337/ 首先是下午14点左右有几台服务器出现流量超高,平时只有几百M的流量,那时候发现流量上G了,达到这个量第一感觉就是遭受了DDOS流量攻击
Linux 服务器木马木马清除
11-21 198
1、查看流量图发现问题 查看的时候网页非常卡,有的时候甚至没有响应 2、top动态查看进程 我马上远程登录出问题的服务器,远程操作很卡,网卡出去的流量非常大,通过top发现了一个异常的进程占用资源比较高,名字不仔细看还真以为是一个Web服务进程。 4、结束异常进程并继续追踪 killall-9nginx1 rm-f/etc/nginx1 干掉进...
Linux服务器挖矿病毒处理
最新发布
自己在学习过程中的总结
06-19 1423
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
linux 木马
dinglongpei8983的博客
03-10 87
参考 http://wangzan18.blog.51cto.com/8021085/1740113 http://www.cnblogs.com/jluzhsai/p/3756280.html (安装查杀) 转载于:https://www.cnblogs.com/yanjunwu/p/6532984.html
linux服务器 木马 处理,linux 服务器木马木马清除
weixin_31440829的博客
04-28 1196
Tech Neo技巧沙龙 | 11月25号,九州云/ZStack与您一路商量云时代收集界线治理实践一、背景晚上看到有台办事器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感到应当是木马了,被人当做肉鸡了,在大年夜量发包。我们的办事器为了最好机能,防火墙(iptables)什么的都没有开启,然则办事器前面有物理防火墙,并且机械都是做的端口映射,也不是常见的端口,按理来说应当是满安然...
10991-10771linux木马和后门程序&linux异常处理.rar
10-15
测试网络恶意程序的攻防,和删除异常程序,网络不知攻燕之坊,资源没有解压密码,请放心绝对安全,建议内网测试使用。 如何处理linux恶意程序?五个步骤彻底清除木马 里面有具体操作步骤和工具
Linux系统木马后门查杀方法详解
01-09
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:  一、Web Server(以Nginx为例)  1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)  2、上传...
Linux下查杀webshell木马的工具.zip
01-05
Linux环境,安全是至关重要的,尤其是对于服务器管理员而言,防止和检测Webshell木马尤为重要。Webshell,也称为Web后门,是攻击者在网站上留下的恶意脚本,通常用于远程控制服务器,窃取数据,或者进行其他非法...
Linux.BackDoor.Gates.5木马处理文档
11-13
生产使用的Linux.BackDoor.Gates.5木马处理文档!
Linux手动木马查杀过程
05-04
Linux手动木马查杀过程,处理安全问题很重要的,建议下载看看
Linux病毒了怎么办?
qq_51228157的博客
03-23 784
Linux病毒了怎么办?
Linux查杀木马
******* ▄︻┻┳═一 *******
01-02 1687
木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。 以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法: 一、Web服务器(以Nginx为例)1、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤) 2、在nginx配置文件增加: if ($request_filename ~* (.*)\.php) { set $php_u
Linux系统病毒怎么解决
qq_38954700的博客
04-28 1708
1)最简单有效的方法就是重装系统 2)要查的话就是找到病毒文件然后删除 毒之后一般机器cpu、内存使用率会比较高 机器向外发包等异常情况,排查方法简单介绍下 top 命令找到cpu使用率最高的进程 一般病毒文件命名都比较乱,可以用 ps aux 找到病毒文件位置 rm -f命令删除病毒文件 检查计划任务、开机启动项和病毒文件目录有无其他可以文件等 3)由于即使删除病毒文件不排除有潜伏病毒,所以最好是把机器备份数据之后重装一下 ...
Linux系统能够出现了病毒,应该如何处理
一亩三分地
12-20 6704
解决方法: 找到病毒文件并将其删除;毒之后的机器会出现CPU、内存使用率会比较高,不断向外发包等异常情况。 排查方法: Linux服务器流量剧增,使用iftop查看是否有外网连接的情况 netstat 查看连接外网的ip和端口是否有问题 top找到CPU使用率高的进程,一般病毒文件命名会比较乱 ps  aux 查看是否有不明进程,找出病毒文件的位置 rm -f  删除病毒文
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子
nasen512的博客
07-10 2666
高级运维开发工程师带你处理linux木马(挖矿病毒)实战例子。
linux服务器病毒后的清除处理
Micheal's Blog
02-23 1395
linux服务器病毒后的清除处理 之前看到公司同事在部署服务器的时候,发现了挖矿病毒,很是恼火。因为我平时很少接触服务器,一般都是部署项目,配置域名就完事。所以遇到这种情况,只能在一旁看着干着急。后来在网上查阅了很多资料,现决定来整理一下,下次如果遇到服务器病毒的情况,可以拿来参考一下。 一、服务器为什么会病毒? 1)服务器病毒,其实是因为黑客的入侵。入侵者的每一次入侵几乎都是从扫描开始的,扫描软件首先会判断远程计算机是否存在,接着对存在的远程计算机进行扫描,探测其开放的端口。入侵者通过扫描的结果
Linux运维之解决服务器挖矿木马问题
上善若泪
01-25 1890
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
Linux内核级木马与病毒攻防:基础工具介绍
tyler_download的专栏
07-04 1416
欲成其事先利其器。要想完成一项复杂的任务,工具的作用至关重要。要想在Linux系统上开发或研究木马病毒等特殊程序,我们需要使用一系列强大的开发和调试攻击。本节先介绍几种在Linux系统上极为强大的工具。 第一个当然是gdb了,在Linux上,它是唯一能用于程序调试的利器。我们后面开发代码或调试分析其他病毒或木马的设计模式和原理时,必须使用gdb作为手术刀,对要研究的病毒和木马进行”剖尸检验“,通过gdb调查木马或病毒的代码设计方法,同时也使用gdb加载恶意代码,研究其运转流程。 第二个是objdump,它的
linux 服务器木马及清除木马
weixin_34115824的博客
11-09 747
一、背景 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是木马了,被人当做 肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做 的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机...
Linux运维故障实战:211页血泪经验总结
《挑战不可能的任务Linux运维故障锦集》是一本深入探讨Linux系统运维常见问题的实用...这本书不仅涵盖了Linux运维的各种故障处理,也包含了系统的深层次原理和安全策略,是每个Linux运维人员不可或缺的参考书籍。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

rqaz123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值