linux恶意进程检测,检测Linux服务器恶意感染病毒Linux.Xor.DDoS

最新推荐文章于 2022-09-30 09:07:50 发布
最新推荐文章于 2022-09-30 09:07:50 发布
阅读量440 收藏
点赞数
文章标签: linux恶意进程检测

前言

最近Linux病毒有点狂,然后今天打算检测下生产环境的机器,前段时间架设了一台oracle rac专用的dns和ntp服务的机器,这台机器给整个机房的oracle rac提供内网dns和时钟同步,如果被搞死了,整个机房oracle集群挂了,接下来开始检测这台机器。

检测用的工具

1. Clamav

2. Chkrootkit

3. RKHunter

4. AIDE

检测的机器

Dns及ntp生产服务器

系统环境

CentOS7.3

这里不介绍安装,直接开始使用这些工具对linux系统检测。

首先用clamav检测(未发现异常)

clamscan –ri / -l clamscan.log

0fcda4367f11d485deaad2187058683d.gif

换个工具继续检测

0fcda4367f11d485deaad2187058683d.gif

最后一个工具发现了可能感染ddos木马

/chkrootkit | grep INFECTED

然后开始了各项检测,从邮件查下有没有恶意登录,没有发现什么线索(自己写了个小脚本,只要有人成功登录自动发邮件到我的邮箱)

然后用脚本检测系统各项情况,看有没有恶意进程,和特殊网络连接

脚本内容太长,关键什么都没查出来,应该是程序还没运行,然后挨个检测目录,检测文件脚本,然后在检测/tmp下发现一个能执行的脚本

把权限降到0

0fcda4367f11d485deaad2187058683d.gif

在去检测一下,发现不报毒了,然后查阅相关资料,说是只要在/tmp下有可执行权限的文件这个工具会误报~,真是应了那句话,linux玩好你玩死他,玩不好他玩死你,本来一分钟得到事情,我折腾了一下午,担惊受怕,说多了都是泪呀,自己折腾吧。

李新野
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux恶意进程检测,Linux服务器下的恶意进程检测方法与流程
weixin_39796116的博客
04-29 1283
技术特征:1.linux服务器下的恶意进程检测方法,其特征在于:包括以下步骤:1)、选择需要检测服务器;2)、获取所有服务器中的进程信息;3)、根据步骤2得到的进程信息,得到共有进程信息和单一进程信息;4)、将进程信息与白名单进行匹配对比,得到判断结果;5)、将判断结果后进行反馈处理。2.根据权利要求1所述的linux服务器下的恶意进程检测方法,其特征在于:步骤2获取的信息包括进程名、进程pid...
linux查看恶意进程,在Mac Linux上如何快速判断一个文件是否是恶意程序?
weixin_36201438的博客
04-29 661
*本文作者:GeekOnline,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。熟悉Mac/Linux的用户经常会使用命令行,如果遇到系统异常,如CPU使用率暴涨等,经常会使用top命令去定位到底是哪个程序出现了异常。找到相关程序后,由于许多用户自身没有安全背景或者不大懂得逆向,便无法去分析程序到底做了什么,不敢枉然kill掉程序。又如果文件夹下面无故多了非自己创建的程序,这时也不敢枉然...
linux恶意进程检测,如何安装Linux恶意软件检测的程序
weixin_42197129的博客
04-29 571
Malware被称为恶意软件,它可以是任何脚本、应用程序或任何对我们的系统和数据有害的东西。Linux Malware detect (LMD)是一种针对Linux恶意软件扫描程序,是根据GNU GPLV2许可证发布的,旨在解决托管环境中面临的威胁。它使用来自网络边缘入侵检测系统的威胁数据来提取主动用于攻击的恶意软件,并生成用于检测的签名。共享托管环境中的威胁与标准AV产品检测套件的独特之处在于...
linux 非法信息,用Netstat来监控Linux里非法服务
weixin_36438028的博客
05-13 128
作为一名Linux管理员,安全防御工作的第一步就是知道在系统中有哪些服务在运行。管理员的重要责任应包括:检查服务是否被授权,并应该鉴别那些虽非正在使用的但却是活动的服务。存在于各种版本Linux中的Netstat 作为一个网络实用程序可以帮助解决这个问题。这个小巧的工具可以告诉管理员哪些程序正在哪些端口监听,甚至可以告诉管理员程序是否正在监听Unix域套接口,要大体看一下运行在系统上的所有服务,使...
Linux XOR.DDoS样本取证特征与清除
weixin_30810583的博客
05-08 211
一、取证特征 1)获取进程ID 使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf) 2)获取进程对应路径 Linux 在启动一个进程时,系统会在/proc下创建一个以 PID 命名的文件夹,在该文件夹下会有进程信息。 ll /proc/xxxx 用lsof查看某个路径下的进程列表,木马文件在/usr/bin/下的文件拷贝出来备份。 lsof /us...
Test_xor_long.rar_linux XOR
09-21
标题中的“Test_xor_long.rar_linux XOR”提示我们这个压缩包包含了一个与Linux系统相关的XOR操作测试程序。描述中提到的“Test xor long extends DxTestCase Source Code for Linux”表明这是一段C语言编写的源代码...
Trojan[DDOS] Linux. Znaich 分析笔记1
08-04
在该报告中,Hendrik Adrian指出该恶意代码使用了“破壳”漏洞进行攻击,并且该恶意代码与XOR.DDoS家族没有关联。 接下来,让我们了解一下该恶意代码的感染源。该恶意代码通过“破壳”漏洞进行攻击,该漏洞允许攻击...
Test_xor_int_lit16.rar_linux XOR
09-23
标题中的“Test_xor_int_lit16.rar_linux XOR”暗示了这是一个关于Linux系统中进行按位异或操作(XOR)的测试用例。这个压缩包包含一个名为“Test_xor_int_lit16.c”的源代码文件,很可能是用C语言编写的,用于演示...
Linux服务器实现多网卡绑定.pdf
09-06
在本文中,我们将深入探讨Linux服务器如何实现多网卡绑定,并介绍几种不同的绑定模式。 首先,我们来看一下Linux中常见的七种绑定模式: 1. **active-backup**:这种模式下,只有一个网卡处于活动状态,另一个作为...
xor_avx.rar_单片机开发_Unix_Linux_
08-11
Unix和Linux操作系统通常用于服务器和高性能计算环境,因此这个项目可能是为了提高这些环境下的存储系统性能。 XOR(异或)是一种二进制运算,常用于数据比较和校验和计算。在RAID-5中,XOR运算用于计算奇偶校验块...
linux服务器异常进程,Linux服务器快速排查系统是否被黑被入侵
weixin_42577735的博客
04-29 2255
1.异常进程可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU 2.linux系统中出现类似Windows的目录或可执行文件如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑3.检查定时任务crontab可以使用crontab -l检查定时任务是否异常,比如 1 20 * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录...
Linux 笔记 进程监测 进程管理
nullccc的博客
08-12 251
w 命令显示 Linux 系统中当前登录用户的信息以及该用户正在执行进程相关信息。第一行分别是:当前时间,计算机运行时间,当前用户,平均负载(1分钟,5分钟,15分钟)第二行:user 用户名,TTY 登录终端名称,from 从哪里登录,LOGIN@ 用户连接系统时间,IDLE 多久没有活跃,JCPU 该进程使用所有cpu的时间,PCPU 执行当前程序所消耗的时间,WHAT 当前用户正在运行的程序 显示当前登录的用户是 process Status 的缩写 ,静态显示当前系统中的进程。 -ef 列出所有用
LINUX 服务器病毒了,后来追踪到的一个机器运行脚本,研究了一下对于初学者shell的人有很大的帮助
最新发布
80后大叔爱学习
09-30 2432
服务器病毒了,后来追踪到的一个机器运行脚本,研究了一下对于初学者shell的人有很大的帮助
linux病毒检测,ddos防护:Linux恶意软件检测工具-墨者安全-墨者盾
weixin_39827034的博客
05-14 261
ddos防护:Linux恶意软件检测工具Linux恶意软件检测工具(LMD)是一个GNU GPLv2许可下发布的Linux恶意软件扫描器,其设计理念是是针对在共享主机环境中所面临的威胁。它使用来自网络边界的入侵检测系统的威胁数据,提取当前被经常用于攻击的恶意软件,并针对检测到的恶意软件生成标识。工具介绍Linux恶意软件检测工具(LMD)是一个GNU GPLv2许可下发布的Linux恶意软件扫描器...
centos系统中了一次毒(哇咔咔)DoS:Linux/Xorddos!rfn
weixin_33921089的博客
10-19 424
昨晚朋友说服务器中毒了,他说明天重新安装一下系统,我说别安装的,咱们看一下把,就有了这次的记录中毒的博客, 因为是事后记录的,有的没有图了,只能写出来了。DoS:Linux/Xorddos!rfn:特洛伊***拒绝服务 连接服务后我直接ll`whichtop`看看大小和别的机器比较下看看有没有让人修改 我执行top是能看到的有...
linux脚本攻击,恶意shell脚本攻击的方法与预防策略
weixin_26837345的博客
05-01 2556
前言网络安全对于互联网从业者而言,一直是一个重要的、绕不开的话题,PowerShell可以给运维人员带来极大的方便,但同时也是被攻击者盯上的重灾区。想想就非常可怕,攻击的人只要能从远程执行shell脚本,就能执行一些敏感的安全操作,比如篡改重要数据,修改安全配置等。所以我们有必要掌握一些恶意shell脚本攻击的方法与预防策略。PowerShell攻击方法PowerShell攻击方法一般分为两方面:...
检查linux 是否有被攻击或恶意访问
weixin_33843409的博客
03-14 540
为什么80%的码农都做不了架构师?>>> ...
Linux系统检测和防护脚本
u014779378的博客
11-13 2184
1、方便将服务器安全情况通过检测脚本直接输出txt文件,同时便于检查出安全隐患。 2、缩短安全检查和防护时间,提高安全检查和防护效率 github地址 https://github.com/xiaoyunjie/Shell_Script.git 一、Linux检测脚本 1.1、文件 压缩包包含2个文件: CentOS_Check_Script.sh : 脚本文件 README.txt :...
linux双网卡绑定 bonding
06-23
"Linux双网卡绑定(bonding)是一种技术,用于将两个或多个网络...总结来说,Linux双网卡绑定(bonding)是提升服务器网络稳定性和性能的重要技术,通过适当的配置和选择合适的模式,可以有效地实现网络的冗余和负载分担。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值