linux被人种木马了

最新推荐文章于 2023-04-01 11:38:32 发布
最新推荐文章于 2023-04-01 11:38:32 发布
阅读量830 收藏
点赞数
文章标签: linux attributes file system list ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shongyu/article/details/3849018
版权

chkrootkit和rkhunter都查实了此机中了木马,我不要重装系统,唯有一个个文件还原。(有另一台机的文件可以拷过去)

lsattr - list file attributes on a Linux second extended file system

显示文件属性

要清除i(不可修改)属性才能对文件进行操作。 

[root@GPSMCC bin]# lsattr ps
suS-iadAc---- ps
[root@GPSMCC bin]# chattr -suSadAci ps
[root@GPSMCC bin]# chown root:root ps

然后进行文件覆盖。

 

感觉ssh的文件有点问题,装了个新版本的上去。装之前还要先更新zlib和openssl的版本。

 

发现/etc/rc.d/rc.sysinit 文件最下面加了一句

# Xntps (NTPv3 daemon) startup..
/usr/sbin/xntps -q
查了一下,这句是 shv4 rootkit 加上去的,删掉

顺便把这个xntps也删掉

 

然后看到/etc/rc.d里面的另一个文件rc.local也有点怪异


/usr/...../bin/snmp_proxy
/usr/...../bin/rcp_core

多了两句这样的东西,估计是HACKER拷上来的文件。

 

再根据rkhunter显示的结果,删掉一些HACKER拷上来的文件(与另一台机的系统对比)

shongyu
关注
记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(挖矿入侵应急响应)
墨痕诉清风的博客
11-18 2715
记一次阿里云服务器被被种挖矿程序解决的过程。
攻击防范六(整理)
民兵的家园
06-20 2万+
八种扫描器说明八种扫描器说明⑴NSS(网络安全扫描器) NSS由Perl语言编成,它最根本的价值在于它的速度,它运行速度非常快,它可以执行下列常规检查: ■Sendmail ■匿名FTP ■NFS出口 ■TFTP ■Hosts.equiv ■Xhost 注:除非你拥有最高特权,否则NSS不允许你执行Hosts.equiv。 利用NSS,用户可以增加更强大的功能,其中包括: ■AppleTalk扫描
linux服务器被注入木马,无法开机,如何恢复系统盘数据
weixin_43831997的博客
04-30 811
服务器中木马linux系统盘数据恢复教程。
菜鸟的linux云服务器第一次木马入侵处理记录(名为xmrigMiner的木马
weixin_48713918的博客
04-01 2841
遇到木马入侵linux自查自删过程。 查了一下后台,是这个样子 显示的是cpu与内存占用极高,不停有写入操作大写的懵逼,第一反应是先关机 但是没屁用,cpu与内存占用居高不下 我处理的主要过程如下 kill进程没用,还会重新启动。查了半天资料,说是让我看看启用命令 卧槽,真的有 大概是我用的redis安装包有问题赶快启用删除全部定时任务命令 再次查询,就查不到这个定时任务了但是占用率还是居高不下,kill不掉用top命令查看进程状况 就是这个流氓程序,一直占着, 用kill命令,后面的2988
Linux服务器中木马(肉鸡)手工清除方法
wuyongde0922的专栏
05-24 5020
0,简单判断有无木马 有无下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port  ls /usr/bin/dpkgd 查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh
linux服务器防木马,三次Linux服务器被入侵和删除木马程序的经历
weixin_33940733的博客
04-30 299
今天来说说这个木马(Linux.BackDoor.Gates.5),很是烦人,已经中招三次了,这次才找到原因,原来是apache的activemq消息队列的漏洞导致,有个致命漏洞,搜索了一下大概漏洞刚出来的时候赏金在3500$, 攻击者通过api在程序默认的webapps目录下面写入了两个jsp文件, 也是大意没有把默认的程序删除,以此谨记。哪知下午也中招,其实作者写的过程很详细,但是我感觉有些瑕...
linux系统查看网络连接情况
weixin_33894992的博客
12-04 1000
netstat命令状态说明: CLOSED 没有使用这个套接字[netstat 无法显示closed状态] LISTEN 套接字正在监听连接[调用listen后] SYN_SENT 套接字正在试图主动建立连接[发送SYN后还没有收到ACK] SYN_RECEIVED 正在处于连接的初始同步状态[收到对方的...
LInux系统木马植入排查分析 及 应用漏洞修复配置(隐藏bannner版本等)
weixin_42309324的博客
07-27 711
在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节。今天,分享一下如何检查linux系统是否遭受了入侵? 一、是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@bastion-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [root
DOS 批处理
墨鱼菜鸡
07-11 1368
From:http://www.jb51.net/article/97204.htm From:http://www.92to.com/bangong/2016/04-08/2998914.html 百度文库:目前为止最全的批处理教程 批处理经典入门教程 批处理的本质,是一堆DOS命令按一定顺序排列而形成的集合。 ...
批处理语言简明手册
bryanj的专栏
12-24 3430
说明:所有资料来自于网上,整理by Bryan.Wong,给标题加了格式,以便于在word中用文档结构图显示书签批处理应用大全... 2一.简单批处理内部命令简介... 21.Echo 回显... 22.pause  暂停... 33.Goto 跳转... 34.Rem 注释... 36.Call  调批处理... 47.start  调程序... 48.cho
Linux木马如何处理
rqaz123的博客
05-12 1609
如果是Linux服务器中了病毒,那么如何发现病毒并且清楚该病毒呢,我这边说说我的一些处理的大概思路吧。 1、注意备份数据,运维首先想到的是数据得安全性,一般情况你要注意这台中病毒的是app应用、文件、还是数据库服务器,注意数据的安全性,我习惯性是会将数据或者程序文件等等先临时传输到另外一台临时的服务器,或者其他目录; 2、 分析是什么异常进程,有的病毒ps命令可以看,如果病毒是挖矿程序等通常都是rookkit伪装成内核进程,一般命令看不了; 3、netstat查看异常链接; 4、iftop等查看服务
智能一代云平台(十六):解决Linux服务器被植入木马总结
热门推荐
通往精英的成长之路
03-12 2万+
【前言】 继上次Redis服务器被劫持风暴(高校云平台(十三):Redis服务器被劫持风波)过后十多天后,病毒对我们总是恋恋不舍,又一次的来到我们身边;有了上次的经验后,这次处理起来虽然也有些波折,但是相对来说迅速很多;下面是这次解决的整体流程,希望会对读者有所启发。 【跌宕起伏研究之路】 一、发现病毒: 1、被通知: 201...
Linux中招挖矿木马如何处置,附带解决方案
是故事啊~关注我~
01-25 7570
前段时间一位朋友在群里反应,公司的部署大数据集群的Linux服务器中了挖矿木马病毒,让我给他解决,分享一下解决方法。 一. 什么是挖矿木马 首先经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,其中主要入侵方式如下: 1. 漏洞利用:利用系统漏洞快速获取相关服务器权限,植入挖矿木马是目前最为普遍的传播方式之一。常见的漏洞包括Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、web漏洞等。 部分攻击者选择直接利用永恒之蓝...
linux服务器被植入木马挖矿程序的解决过程记录。
weixin_38067745的博客
12-24 4976
今天我的网站突然无法访问,我马上进入服务器排查情况。用top命令查看进程,发现有某个进程的cpu使用率到达90%以上,而这个进程并不是我启动的。我怀疑这个进程是个木马程序,于是我用kill -9 【进程id】把该进程杀掉。发现没过多久该进程又启动了。我反复试了几次还是不行,于是更加断定我的怀疑了。 经过老大的提醒,有可能是redis的漏洞导致被攻击,我马上...
Linux Unix.Trojan.Elknot (Linux.BackDoor.Gates.5)木马清理
liukeforever的专栏
08-14 1万+
被黑后, 向外疯狂发包,造成网络瘫痪
一次Linux服务器被入侵和删除木马程序的经历
烂笔头的博客
02-06 1万+
本文出自 “小小水滴” 博客,请务必保留此出处http://wangzan18.blog.51cto.com/8021085/1740113 一、背景     晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。     我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面
记一次Linux服务器上查杀木马经历
weixin_30455023的博客
08-24 1254
开篇前言 Linux服务器一直给我们的印象是安全、稳定、可靠,性能卓越。由于一来Linux本身的安全机制,Linux上的病毒、木马较少,二则由于宣称Linux是最安全的操作系统,导致很多人对Linux的安全性有个误解:以为它永远不会感染病毒、木马;以为它没有安全漏洞。所以很多Linux服务器都是裸奔的。其实在这次事件之前,我对Linux的安全性方面的认识、重视程度也是有所不足的。系统的...
耶鲁大学黄色人种人脸图像识别数据库
黄色人种人脸数据库是一个具有特定科研价值的图像数据集,主要用于计算机视觉和模式识别领域中的人脸图像分析和识别研究。以下将详细阐述该数据集所蕴含的知识点: 1. 耶鲁大学数据库背景: 耶鲁大学在计算机科学...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值