Linux下简单的木马查杀

最新推荐文章于 2024-05-13 07:37:12 发布
最新推荐文章于 2024-05-13 07:37:12 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010791660/article/details/113740741
版权

最近开发服务器经常报警,作为一个安防小菜鸟。总结了以下的查杀套路以供将来参考。2021-02-07

查杀思路

  • 先查看系统中有没有异样的进程
  • 找到异常进程之后 kill 掉
  • 找到异常进程启动的位置并修复

具体的查杀步骤

  1. 先看到阿里云的报警信息

    image-20210207135750397其实这里阿里云的报错还是挺清晰的了,主要是因为用nexus搭建的私服被破了,然后黑客通过nexus 执行了shell命令。(第一次看到这个后一脸懵逼,不知所措)

  2. 然后通过 top 查看运行的进程

  3. 发现了异常的进程 network01

  4. kill -9 掉进程发现过一会儿之后又重新启动了 (重新启动应该就是加了定时任务)

  5. 果断去看看定时任务 crontab -l 果然发现有问题

    image-20210207142610300

    先删除 这条定时任务

    然后再把其他的定时任务文件都看看

    ll -d /etc/cron*
drwxr-xr-x. 2 root root  21 5月  14 09:12 /etc/cron.d
drwxr-xr-x. 2 root root  42 5月  14 09:13 /etc/cron.daily
-rw-------. 1 root root   0 4月  11 2018 /etc/cron.deny
drwxr-xr-x. 2 root root  22 6月  10 2014 /etc/cron.hourly
drwxr-xr-x. 2 root root   6 6月  10 2014 /etc/cron.monthly
-rw-r--r--. 1 root root 451 6月  10 2014 /etc/crontab
drwxr-xr-x. 2 root root   6 6月  10 2014 /etc/cron.weekly

    然后考虑下是否有开机自启 去查看 /etc/inid.d 下的所有文件,再把 rc.d 下的文件都看看

  6. 删掉发现的异常文件

  7. 把nexus重新设置一遍

  8. 把ssh改成密匙登录

  9. 开启服务器的防火墙,然后只开通再用的端口

  10. 做完以上的步骤之后 发现服务器已经正常了。(最终如何还不知道 明天在观察看看)

参考资料

查杀过程中到处检索,所幸已经有前辈提供了不少资料

Linux下手动查杀木马

linux /etc/rc.d/目录的详解

Sysrv-hello挖矿病毒

coderzhouyu
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ps -ef 后kill -9 无法杀掉进程一直重解决办法
weixin_45160274的博客
04-20 1855
ps -ef 后kill -9 无法杀掉进程一直重 ps -ef 杀进程 ps -ef kill -9 PID 重新动进程后,发现端口还是被占用,再次ps -ef ,发现该进程仍旧存在 liunx中有时候通过命令ps -ef|grep 进程名,然后kill -9 ,可能杀的是子进程而不是父进程,整个进程树没有死。 ps -A|grep -i 进程树查看 查看进程树的pid的方法是: ps -A|grep -i 进程名 然后杀死进程: kill 进程pid号  或者 kill -9 进程p
Linux下让进程不再被拉起
崔杰城的博客
04-16 1475
Linux下让进程不再被拉起,禁止开机自
运维最全记一次Linux服务器上查杀木马经历,2024年最新2024Linux运维面试心得
最新发布
2401_84140140的博客
05-13 921
PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改为/opt/clamav/updata/clamd.pid。LogFile /opt/clamav/logs/clamd.log 删掉前面的注释目录改为/opt/clamav/logs/clamd.log。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?7、Tomcat和Resin有什么区别,工作中你怎么选择?
Linux命令行,使用kill -9 杀不掉进程的解决办法
weixin_39789340的博客
01-19 1万+
最近在学习spark时,遇到kill -9杀不掉进程的问题,在此做一记录以供学习。问题如图: 查找资料后,确定杀不掉进程的原因有两种: 1.这个进程是僵尸进程 2.此进程是"核心态"进程。 确定僵尸进程的方式: 1.用 ps 和 grep 命令查看僵尸进程,如图: ps -A -ostat,ppid,pid,cmd | grep -e 命令注解: -A 参数列出所有进程 -o 自定义输出字段 我们设定显示字段为 stat(状态), ppid(进程父id), pid(进程id),c
Linux木马病毒处理
小树苗
10-13 4384
如果是云服务器可以在云监控态势与感知中直接获取木马文件相关进程name,id以及路径如下: 文件路径: /opt/apache-tomcat-7.0.104/bin/shell1.elf 恶意文件md5: 91cc7f105856a0e9eb6a29ef3d08d9ce 进程id: 27504 如果是物理机需要仔细去终端排查; top #仔细检查异常进程pid ls -l /proc/pid/exe #查看异常进程命令所在地 严重的时候木马病毒会修改或替换平时常用的系统命令 ps,ls等命令执行无..
Linux系统木马查杀
Saindy5828的专栏
02-18 590
查看进程打开的文件、文件或目录被哪个进程占用、打开某个端口的进程、系统所有打开的端口等信息。监控TCP连接实时网络流量,可分别分析出入流量并进行排序,查找出流量异常的IP地址。查看系统监听的所有端口、网络连接情况,查找连接数过多的IP地址等信息。监控每个进程使用的网络流量,并从高到低排序,方便查找出流量异常的进程。查看运行的进程和进程系统资源占用情况,查找异常进程。追踪一个进程执行的系统调用,分析木马进程的运行情况。以树状图的形式显示进程间的关系。使用常用木马查杀命令。
Linux查杀webshell木马的工具.zip
01-05
Linux环境中,安全是至关重要的,尤其是对于服务器管理员而言,防止和检测Webshell木马尤为重要。Webshell,也称为Web后门,是攻击者在网站上留下的恶意脚本,通常用于远程控制服务器,窃取数据,或者进行其他非法...
Linux系统木马后门查杀方法详解
01-09
以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:  一、Web Server(以Nginx为例)  1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)  2、上传...
Linux手动木马查杀过程
05-04
Linux手动木马查杀过程,处理安全问题很重要的,建议下载看看
LINUX系统病毒查杀木马病毒服务手动删除
08-19
LINUX系统病毒查杀木马病毒服务手动删除 LINUX系统病毒查杀木马病毒服务手动删除是 LINUX 系统管理员必备的技能之一。在这个知识点中,我们将学习如何手动删除系统中的病毒和木马服务。 一、病毒查杀 在 ...
windows+linux下的应急响应
06-11
例如,Windows下的恶意软件查杀工具如Windows Defender,Linux下的ClamAV或Rkhunter,都能协助检测和清除木马病毒。 一旦找到攻击痕迹,接下来是修复漏洞。对于Windows,可以通过Windows Update或Microsoft ...
【转】记一次Linux木马清除过程
tpriwwq的专栏
10-07 1426
Linux下一次典型的木马清除过程 包含很多实用技巧,运维必备
Linux运维之解决服务器挖矿木马问题
上善若泪
01-25 1873
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
Linux下手动查杀木马过程
吕巡鑫
03-09 505
文章目录1 使用rootkit把木马程序的父进程和木马文件隐藏 (此章节实验需在CentOS 6下进行)1.1Rootkit概述1.2实战-通过rootkit隐蔽行踪1、安装adore-ng2、测试,查看帮助:实战1:演示ava提权功能1、准备测试环境2、创建一个普通用户3、通过ava命令提权,让普通用户xinsz08可以获得root权限4、使用r命令选项提权5、在别一个终端上查看,运行此vim...
Linux 下手动查杀木马过程
热门推荐
高飞的博客
08-04 11万+
系统安全
Linux平台下木马rootkit的检测和防范
靠谱运维
07-20 1740
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkit是Linux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
linux木马查找方法,Linux木马pscan2查找与清除步骤
weixin_36448964的博客
05-13 397
一、现象ah现场的程序是分布式部署,除了程序的配置文件不同外,并无其他不同。最近地市sz频繁发生工单处理错误的故障,而其他地市运行一直很稳定。二、 因此,对sz的主机进行了检查,步骤如下:1、重应用,发现应用的端口3456已经被占用,通过命令 lsof -i:3456 ,发现是用户tel的进程占用了该端口。2、通过命令ps,发现用户tel的进程熟非常多,但在我们的系统中,并未创建过用户tel。3...
服务器linux杀网页木马,一次Linux服务器木马查杀经历
weixin_42120563的博客
05-09 406
1客户自己的服务器由于种了木马,往外发送大量数据包,被服务商切断网络.虽然没有网络不能直接登录服务器,但是可以通过服务商提供的WEB控制面板进入操作系统.首先使用命令查看相关连接:netstat-natp,很明显看到了异常进程gettylsof-i:35308对应进程号,然后kill掉.使用命令last查看最近登录情况:其中有异常IP登录:60.28.121.160是天津的IP,而客户是...
linux中webshell查杀
12-22
查杀Linux系统中的WebShell,首先可以通过扫描Web服务器的日志文件和系统文件来发现异常的访问和文件修改情况。还可以使用专门的WebShell查杀工具进行扫描和识别WebShell文件。一旦发现了可疑的文件,可以通过审查...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值