linux取消安装进程,linux 服务器中***及清除***

最新推荐文章于 2023-09-01 17:38:01 发布
最新推荐文章于 2023-09-01 17:38:01 发布
阅读量462 收藏
点赞数
文章标签: linux取消安装进程

一、背景

晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中***了,被人当做

肉鸡了,在大量发包。

我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做

的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和***有缘吧,老是让我遇到,也趁这次机会把

发现过程记录一下。

二、发现并追踪处理

1、查看流量图发现问题

查看的时候网页非常卡,有的时候甚至没有响应

3ce9bc4d83f9c27a30d0526108894cf6.png

2、top动态查看进程

我马上远程登录出问题的服务器,远程操作很卡,网卡出去的流量非常大,通过top发现了一个异常的进程占用资源

比较高,名字不仔细看还真以为是一个Web服务进程。

ee139fe26e94ad18e97d77fd8083ff63.png

3、ps命令查看进程的路径

发现这个程序文件在/etc目录下面,是个二进制文件。

75887bcb9731374da8d1629ee77ec012.png

4、结束异常进程并继续追踪killall -9 nginx1

rm -f /etc/nginx1

干掉进程之后,流量立刻下来了,远程也不卡顿了,难道删掉程序文件,干掉异常进程我们就认为处理完成了么?想

想也肯定没那么简单的,这个是***啊,肯定还会自己生成程序文件(果然不出我所料,在我没有搞清楚之前,后面确

实又生成了)我们得继续追查。

5、查看登录记录及日志文件secure

通过命令last查看账户登录记录,一切正常。查看系统文件message并没有发现什么,但是当我查看secure文件的时候

发现有些异常,反正是和认证有关的,应该是尝试连进来控制发包?

e8cc65f17546ec3fa6409fd122d31b62.png

6、再次ps查看进程

其实第一次ps的时候就有这个问题,那时候没有发现,第二次是仔细查看每个进程,仔细寻找不太正常的进程,发现了一个奇怪的ps进程。

2b82d689d0ae17f4ebb01c9ecd36e198.png

找了台正常的机器,查看了一下ps命令的大小,正常的大约是81KB,然后这台机器上面的ps却高达1.2M,命令文件肯定是被替换了。

779d51b02a0d34f880ced81aef3cb581.png

7、更多异常文件的发现

查看定时任务文件crontab并没有发现什么一次,然后查看系统启动文件rc.local,也没有什么异常,然后进

入/etc/init.d目录查看,发现比较奇怪的脚本文件DbSecuritySpt、selinux。

d2f57f6dd1e9c3ade40b29fe4644abf5.png

第一个文件可以看出他就是开机启动那个异常文件,第二个应该和登录有关。

5dd40b27b6b19798bbb027723a303092.png

既然和登录有关,那就找和ssh相关的,找到了下面的一个文件,是隐藏文件,这个也是***文件,我们先记录下俩,这样程序名字都和我们的服务名字很相近,就是为了迷惑我们,他们的大小都是1.2M,他们有可能是一个文件。

be850b2d6f060424ee3a0282bbab9b1e.png

我又看了一下***喜欢出现的目录/tmp,也发现了异常文件,从名字上感觉好像是监控***程序的。

2193458e0de8e1c020cac75077156988.png

三、***手动清除

现在综合总结了大概步骤如下:

1、简单判断有无***#有无下列文件

cat /etc/rc.d/init.d/selinux

cat /etc/rc.d/init.d/DbSecuritySpt

ls /usr/bin/bsd-port

ls /usr/bin/dpkgd

#查看大小是否正常

ls -lh /bin/netstat

ls -lh /bin/ps

ls -lh /usr/sbin/lsof

ls -lh /usr/sbin/ss

2、上传如下命令到/root下ps netstat ss lsof

3、删除如下目录及文件rm -rf /usr/bin/dpkgd (ps netstat lsof ss)

rm -rf /usr/bin/bsd-port #***程序

rm -f /usr/bin/.sshd #***后门

rm -f /tmp/gates.lod

rm -f /tmp/moni.lod

rm -f /etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些***变种程序)

rm -f /etc/rc.d/rc1.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc2.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc3.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc4.d/S97DbSecuritySpt

rm -f /etc/rc.d/rc5.d/S97DbSecuritySpt

rm -f /etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)

rm -f /etc/rc.d/rc1.d/S99selinux

rm -f /etc/rc.d/rc2.d/S99selinux

rm -f /etc/rc.d/rc3.d/S99selinux

rm -f /etc/rc.d/rc4.d/S99selinux

rm -f /etc/rc.d/rc5.d/S99selinux

4、找出异常程序并杀死

c07c4852c1b5317e154ffffb88055ca8.png

5、删除含***命令并重新安装(或者把上传的正常程序复制过去也行)

我自己重新安装好像不行,我是找的正常的机器复制的命令。#ps

/root/chattr -i -a /bin/ps && rm /bin/ps -f

yum reinstall procps -y 或 cp /root/ps /bin

#netstat

/root/chattr -i -a /bin/netstat && rm /bin/netstat -f

yum reinstall net-tools -y 或 cp /root/netstat /bin

#lsof

/root/chattr -i -a /bin/lsof && rm /usr/sbin/lsof -f

yum reinstall lsof -y 或 cp /root/lsof /usr/sbin

#ss

/root/chattr -i -a /usr/sbin/ss && rm /usr/sbin/ss -f

yum -y reinstall iproute 或 cp /root/ss /usr/sbin

楚沐风
关注
LInux查看进程和杀死进程
IIIIIIlllii的博客
09-25 909
题目:后台执行sleep 10和vi,分别使用jobs和ps命令查看作业和进程的详细信息,记录结果并说明它们之间的关系,暂停sleep并使用kill命令杀死vi,再次查看jobs和ps命令结果的变化。先学习命令1.使用权限:所有使用者使用方式:sleep [--help] [--version] number[smhd]说明:sleep 可以用来将目前动作延迟一段时间参数说明:--help:显示辅助讯息--version:显示版本编号。
linux取消安装进程,使用Stow在Linux系统删除从源安装的程序
weixin_36125755的博客
04-28 714
本文介绍如何使用Stow在Linux操作系统删除从源安装的程序,这是最为简单的方法。前言并非所有程序都可以在官方或第三方存储库使用,因此你无法使用常规包管理器安装它们。 有时必须通过从源手动编译来安装程序。当从源安装程序时,包文件将被复制到文件系统上的多个位置,例如/usr/local/bin,/usr/local/etc/。如果源代码安装的程序没有内置的卸载程序,那么在不再需要它时删除程序...
linux系统安装软件时怎样强行退出或取消
qq_39702981的博客
09-18 1万+
按住ctrl的同时按c 但是上面的办法再次安装时可能会出问题,需要根据安装目录找到已经安装的文件,将其删除干净,不影响下一次安装
ubuntu取消未完成的安装
10000day
02-29 2906
ubuntu取消未完成的安装 (2011-03-14 19:48:07)转载▼ 标签: 上次安装未完成 无法取得锁 flashplugin 分类: 实验室 刚装的ubuntu10.04,firefox老是提示缺少插件,要安装flashplugin,可是不论是从firefox安装,还是用apt-get install flashplugin,或者从新立得安装都是半天没动靜,连不上adobe的服务器....
linux操作系统安装与关闭,Linux操作系统实用教程之如何进行Linux安装启动与关闭...
weixin_29001419的博客
05-14 219
Linux系统的安装准备用户首先明确安装用途以及和现有计算机操作系统的关系,进行确认,了解掌握Linux操作系统安装的一般性常识,采取什么样的安装方法安装程序的获取硬件需求硬件的兼容性最新的硬件支持列表可在下面的网址查到:http://hardware.redhat.com/hcl最低配置要求硬盘空间内存 目前Linux可以支持的最大内存为4G,所以内存越大越好。如果要执行X窗口图形界面,需要拥...
Ubuntu18.04 dpkg: 处理软件包 mysql-server-5.7 (--configure)时出错:子进程安装 post-installation 脚本 返回错误状态 1
qq_35308053的博客
09-01 2785
Ubuntu 18.04 无法安装mysql-server-5.7,显示dpkg返回错误状态
linux 守护进程详解及建立守护进程
09-15
Linux守护进程,也被称为守护程序,是在后台运行且与任何终端会话无关联的进程,它们通常是系统服务的基础,如网络服务、定时任务等。守护进程的特性使其能够在用户会话结束后仍然持续运行,为系统提供必要的服务。 ...
Linux安装Memcached服务器和客户端与PHP使用示例
01-20
在本文,我们将深入探讨如何在Linux环境下,特别是CentOS 7.2 64位系统上,安装和配置Memcached服务器以及客户端,并且结合PHP进行使用。Memcached是一款高效、分布式的内存缓存系统,它能显著提升动态Web应用程序...
linux根据进程号PID查找启动程序的全路径
01-10
工作环境遇到网络不正常,检测是某服务器异常往外发送数据包,使用netstat命令查看,发现有程序.IptabLex的这个进程状态为异常连接.无法有效清除,因此想知道是哪个目录的此程序处于僵死状态. [root@edu-web1 /]# ...
Linux安装和配置Nginx作为反向代理服务器
最新发布
06-04
第一条详细来讲就是系统的所有都归结为一个文件,包括命令、硬件和软件设备、操作系统、进程等等对于操作系统内核而言,都被视为拥有各自特性或类型的文件。至于说Linux是基于Unix的,很大程度上也是因为这...
linux下使用dpkg安装的软件的卸载方法
yijiaer的博客
10-16 1万+
使用dpkg 安装程序后不知道安装程序的命名 这个时候使用 dpkg -l | grep 程序大概包含的程序名关键字 即可查出安装后的文程序名,然后根据这个文件名即可完成对文件的卸载 sudo apt autoremove --purge 文件名 这种对程序的卸载方法可以同时卸载掉程序安装时候的程序依赖 ...
Linux服务器木马(肉鸡)手工清除方法
wuyongde0922的专栏
05-24 4937
0,简单判断有无木马 有无下列文件 cat /etc/rc.d/init.d/selinux cat /etc/rc.d/init.d/DbSecuritySpt ls /usr/bin/bsd-port  ls /usr/bin/dpkgd 查看大小是否正常 ls -lh /bin/netstat ls -lh /bin/ps ls -lh
linux软件包安装与卸载
热门推荐
chunyang315的博客
01-09 2万+
7.1 安装软件包的三种方法 在Linux安装软件包,主要有3种办法 (1)rpm工具(手动安装,难点在于包的依赖关系) (2)yum工具(python开发出来的工具,操作对象rpm包,能自动解决软件包的依赖关系) (3)源码包(源码包需要同过编译器把该源码包编译成可执行的文件)【安装难度大】 7.2 rpm包介绍 要想使用rpm工具,得先有rpm包。先将光盘连接到系统
linux Ubuntu系統之下如何下載幷安裝.deb文件
weixin_34319999的博客
01-30 967
2019独角兽企业重金招聘Python工程师标准>>> ...
ubuntu 安装软件到一半被断的解决办法
苏卡达
06-06 1万+
在使用sudo apt-get install android-studio 安装Android-Studio的时候,途被断了,重复上述命令再次安装会报错, 使用sudo apt-get remove android-studio也一样报错 折腾了一番,看了下男人才找到方法 解决办法: sudo apt-get install --reinstall android-studio
linux安装宝塔一半挂了怎么再继续,宝塔安装到一半,连接断开了
weixin_42117150的博客
05-16 2077
/server/panel/requirements.txt (line 11)) (1.5.0)Requirement already satisfied: ipaddress; python_version < “3” in /usr/lib/python2.7/site-packages (from cryptography>=2.7->-r /www/server/pan...
Ubuntu 安装软件到一半被断的解决办法 - Linux
Clearlight's Blog
08-28 8209
参考文章 : https://blog.csdn.net/zhongdajiajiao/article/details/51598774 安装vlc时由于安装时间太常导致屏幕锁定从而安装断。 安装vlc的命令 $ sudo apt-get install vlc 安装断 ...
linux可以安装过程吗,linux 安装一个断处理
weixin_29608135的博客
05-15 491
SA_INTERRUPT当置位了, 这表示一个"快速"断处理. 快速处理在当前处理器上禁止断来执行 (这个主题在"快速和慢速处理"一节涉及).SA_SHIRQ这个位表示断可以在设备间共享. 共享的概念在"断共享"一节略述.SA_SAMPLE_RANDOM这个位表示产生的断能够有贡献给/dev/random 和 /dev/urandom 使用的加密 池. 这些设备在读取时返回真正的随机数...
/etc/rc.d/rc.sysinit 文件详解
YH588的专栏
03-23 3115
/etc/rc.d/rc.sysinit 文件详解 . $# :它可抓出 positional parameter 的數量,即脚本后面的参数有几个 $@和$*表示全部参数,但不包含脚本名,即$0,如果在command line上跑 my.sh p1 “p2 p3” p4,则不管是$@/@*,都可以得到p1 p2 p3 p4,,但是,如果是"$@",得到"p1" "p2 p3" "p4",$
Linux服务器安装与常用命令详解
本文档详细介绍了在Linux服务器上进行安装、操作和管理的基本命令,旨在帮助用户高效地管理和维护服务器环境。以下是主要内容概要: 1. 历史命令查看与清除: - `history` 命令用于查看所有输入过的命令历史,这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值