服务器被放入后门文件,服务器被***了怎么办 rkhunter的简单安装及检测后门

最新推荐文章于 2024-06-20 09:38:45 发布
最新推荐文章于 2024-06-20 09:38:45 发布
阅读量711 收藏 1
点赞数
文章标签: 服务器被放入后门文件

被***了,查看了下/var/log/messages和last都已经清理。

sshd : * : spawn /bin/echo %c %d | mail -s '标题'邮箱地址 ---》邮件来报警

一、接着查看 host.allow里面设置,禁止某个可疑ip的访问

二、用rkhunter扫下,是否存在rootkit恶意程序。

鸟哥讲的rkhunter

rkhunter的安装:

2.配置安装

To perform a default installation of RKH simply unpack the tarball and,

as root, run the installation script:

tar zxf rkhunter-.tar.gz

cd rkhunter-

./installer.sh --install

Note: If some form of file permission error is shown, then check that the

'installer.sh' script is executable.

3.简单安装后,就可以进行检测后门

rkhunter --help 查看选项

--checkall (-c):全系統檢測,rkhunter 的所有檢測項目

rkhunter --check

第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔

a65fdcb5cbff9f1b7817ff23dd45eda9.png

第一部份,先進行 binary 的檢測,包括 MD5 的檢測喔

在第一部份的檢測當中,主要的工作就是在檢驗一些系統重要的 binary files,# 這些檔案就是常被 root kit 程式包攻擊的範圍!所以首先就得要檢測他們啊!# 接下來進行第二部分的檢測!

b0e0c3cd53913912bcbd3f3504cf1375.png

第二部分就是在檢測常見的 rootkit 程式包所造成的系統傷害!# 這部分的檢測當然就是針對各個常見的 rootkit 攻擊的檔案/目錄來偵測囉!# 接下來是第三部分的檢測!

5618040505bea7f1dbb3b34c6c0bda67.png

这是最后检测的汇总信息

三、检测后,如果哪个服务被设置了后门,则要将其卸载并删除相关文件及文件夹,然后重新安装。

四、接着查看bashrc 文件有没有异常情况。

五、查看网络连接有没有异常

六、查看重要目录(比如/etc)下有没有新创建的文件及目录

find /etc -cmin -10

七、防止***被反弹

首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹,那么我目的就是要阻止你反弹! 哼哼!!

看看你网站是以apache还是noboday权限运行。 设置setfacl!比如是apache。那么我们就setfack–m u:apache:--- /bin /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒,如果是php的反弹脚本我还真没遇见过,有遇见的求给!!

其次phpshell自带反弹的,但是它们反弹的时候会在/tmp下创建东西才能成功!!

由于php上传会文件会涉及到临时上传 文件会放在tmp文件下,所以我们不能把tmp封死,但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦!!一样的setfacl

至于内核升级不建议,会出很多问题,如果想稳定的话 ,所以多观察服务器多看日志,等是一个优秀管理应该做的事!

政青
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rootkit后门检测工具rkhunter
Field_Yang的博客
08-11 2978
rootkit后门检测工具RKHunter 1、关于rootkit rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。 rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root...
rootkit 后门检查工具 rkHunter安装使用
weixin_44722125的博客
07-18 908
在Linux系统中安装Rootkit Hunter Scanner 第1步:下载Rkhunter #cd /tmp #wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz 第2步:安装Rkhunter 一旦你已经下载了最新版本,以root用户来安装它运行以下命令。 #tar -xvf rkhunter-1.4.6.tar.gz #cd rkhunter-1.4.6 #./inst
服务器被入侵网页后门,谨防“网页后门”,浅谈Webshell入侵网站的原理和预防措施...
weixin_33603681的博客
07-31 1079
正在看手机、电脑或电视的你,是否发现了一个问题,人们对于互联网的依赖程度,让网络几乎已经成了生活中必不可少的东西,不管是生活中还是工作中,它都起着重要的作用,但同样它在给人们带来好作用的同时,也让我们的信息存在了潜在的危险。现在还有不到10天就2021年了,越是到年底,一些网络犯罪分子越是会想方设法地钻空子,找机会利用网站上传Webshell来实施恶性网络攻击,以此来获得高额的利益,那后果就会很严...
linux服务器后门,Linux下留本地后门的两个方法
weixin_42599558的博客
05-09 566
方法一:setuid的方法,其实不是很隐蔽。看看过程:[root@localdomain lib]# ls -l |grep ld-linuxlrwxrwxrwx 1 root root 9 2008-06-07 17:32 ld-linux.so.2 -> ld-2.7.solrwxrwxrwx 1 root root 13 2008-06-07 17:47 ld-lsb.so.3 -&g...
使用rkhunter Rootkit猎手检查Rootkit:全面指南
最新发布
weixin_43822401的博客
06-20 647
rkhunter是一款开源的Rootkit检测工具,它能够扫描系统以查找已知的Rootkit特征码,检查系统文件的完整性,以及检测隐藏的进程和文件
服务器老被植入文件,求助,哪位大神遇到过这种情况,linux服务器总是被上传这些文件...
weixin_32965503的博客
08-05 273
该楼层疑似违规已被系统折叠隐藏此楼查看此楼$sjajm = 'ayH#sxm6pibn8ck5dt714*\'e2l_ru9-o3gv0';$snfhh = Array();$snfhh[] = $sjajm[29].$sjajm[0].$sjajm[15].$sjajm[24].$sjajm[10].$sjajm[18].$sjajm[0].$sjajm[35].$sjajm[30].$sja...
Esc服务器后门如何自动处理,Linux服务器使用WebShellKiller后门自动化查杀教程
weixin_39613561的博客
07-29 301
Linux服务器使用WebShellKiller后门自动化查杀教程世界和平•2019 年 11 月 22 日Loading...## 前言如果服务器出现文件上传漏洞和命令执行类漏洞(包括命令注入、缓冲区溢出、反序列化等)都会让人担心,系统是否系统已被上传webshell甚至植入木马程序。依靠人工排查,一是工作量大二是需要一定程度的技术知识和业务知识才能判断什么是正常什么是异常。工作量大决定排查...
windows2008服务器监控管理软件
shamatefwq的博客
02-15 1744
杀马特服务器安全软件专业维护服务器安全。 专注于服务器安全,让服务器安全变的简单,让站长更好的管理服务器。 基础功能: 服务器系统用户、文件监控、恶意文件删除,网站防注入篡改。 增强功能: 杀马特网站实时监控、记录组件;文件防提权;杀马特管理员锁定组件,入侵监控报表;杀马特实时查杀用户指定的后缀文件等。 功能特性: 1.兼容性 软件支持全系列的Windows服务器操作系统(Windows2003/...
rootkit后门检查工具RKHunter
07-14
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
RKHunter 检测例如rootkit、后门、漏洞等恶意程序的工具
01-02
RKHunter是一款检测例如rootkit、后门、漏洞等恶意程序的工具。它采用多种检测手段,包括MD5哈希值对比、rootkits原始文件检测文件权限检测,以及LKM和KLD模块中的可疑字符串检测
服务器被黑?快速检测和识别系统中的恶意进程
_midnight的博客
05-26 798
在管理服务器时,检测和识别系统中的恶意进程至关重要。本文介绍了使用 `ps`、`top`、`htop` 等系统监控工具,分析日志文件,以及使用 `chkrootkit` 和 `rkhunter` 等安全工具的方法。通过这些步骤,可以有效地检测和处理恶意进程,确保系统的安全和稳定。
rkhunter-1.4.2.tar.gz
06-03
rootkit后门检测工具RKHunter RKHunter是一款专业的检测系统是否感染rootkit的工具,它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中,RKHunter可以作的事情有: MD5校验测试,检测文件是否有改动 检测rootkit使用的二进制和系统工具文件 检测特洛伊木马程序的特征码 检测常用程序的文件属性是否异常 检测系统相关的测试 检测隐藏文件 检测可疑的核心模块LKM 检测系统已启动的监听端口 下面详细讲述下RKHunter安装与使用。 1、安装RKHunter RKHunter的官方网页地址为:http://www.rootkit.nl/projects/rootkit_hunter.html,建议从这个网站下载RKHunter,这里下载的版本是rkhunter-1.4.0.tar.gz。RKHunter安装非常简单,过程如下: 1 2 3 4 5 6 7 [root@server ~]# ls rkhunter-1.4.0.tar.gz [root@server ~]# pwd /root [root@server ~]# tar -zxvf rkhunter-1.4.0.tar.gz [root@server ~]# cd rkhunter-1.4.0 [root@server rkhunter-1.4.0]# ./installer.sh --layout default --install 这里采用RKHunter的默认安装方式,rkhunter命令被安装到了/usr/local/bin目录下。 2、使用rkhunter指令 rkhunter命令的参数较多,但是使用非常简单,直接运行rkhunter即可显示此命令的用法。下面简单介绍下rkhunter常用的几个参数选项。 [root@server ~]#/usr/local/bin/rkhunter–help Rkhunter常用参数以及含义如下所示。 参数 含义 -c, –check必选参数,表示检测当前系统 –configfile 使用特定的配置文件 –cronjob作为cron任务定期运行 –sk, –skip-keypress自动完成所有检测,跳过键盘输入 –summary显示检测结果的统计信息 –update检测更新内容 -V, –version显示版本信息 –versioncheck检测最新版本 下面是通过rkhunter对某个系统的检测示例: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 [root@server rkhunter-1.4.0]# /usr/local/bin/rkhunter -c [ Rootkit Hunter version 1.4.0 ] #下面是第一部分,先进行系统命令的检查,主要是检测系统的二进制文件,因为这些文件最容易被rootkit攻击。显示OK字样表示正常,显示Warning表示有异常,需要引起注意,而显示“Not found”字样,一般无需理会 Checking system commands... Performing 'strings' command checks Checking 'strings' command [ OK ] Performing 'shared libraries' checks Checking for preloading variables [ None found ] Checking for preloaded libraries [ None found ] Checking LD_LIBRARY_PATH variable [ Not found ] Performing file properties checks Checking for prereq
rkhunter检查系统安全性
周海汉的开发专栏
12-24 2670
周海汉 /文 rkhunter是搜索本机漏洞以及查找是否有rootkit的程序。对关注安全的系统管理员很重要。 sudo apt-get install rkhunter zhouhh@zhhofs:~$ sudo rkhunter --checkall[ Rootkit Hunter version 1.3.4 ]Checking system comma
服务器可疑安全事件 警告:发现后门(Webshell)文件网站后门 手动处理流程
06-30 5693
服务器出现了可疑安全事件:包含WEBSHELL代码的日志/图片文件 处理流程
安全运维之:Linux后门***检测工具,附bash漏洞最终解决方法
weixin_34072857的博客
09-25 386
推荐:10年技术力作:《高性能Linux服务器构建实战Ⅱ》全网发行,附试读章节和全书实例源码下载!一、rootkit简介rootkit是Linux平台下最常见的一种***后门工具,它主要通过替换系统文件来达到***和和隐蔽的目的,这种***比普通***后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种***。rootkit***能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,...
最新使用rkhunter检测Linux的rootkit,2024年最新终于搞明白了
2401_84140687的博客
05-12 986
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
linux后门入侵检测工具RKHUnter和ClamAV的使用
热气球
04-01 1778
一、关于rootkit rookit是linux平台下最常见的一种木马后门工具,他主要通过替换系统文件来达到攻击和隐藏的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。 rookit攻击能力极强,对系统的危害很大,他通过一套工具建立后门和隐藏行迹,从而让攻击者保住权限,以使他在任何时候都可以使用root权限登录到系统。 二、rootkit后门检测工具1RKHu...
文件实体的后门&无文件实体的后门&rootkit后门
XXokok的博客
12-01 1205
内存马查杀、RootKit后门和一些其它后门的相关信息
debian重启ssh服务_如何快速找出Linux服务器上不该存在恶意或后门文件
weixin_39799646的博客
11-08 175
校验二进制文件有一件事需要检查确认即没有运行的二进制文件被修改。这种类型的恶意软件可以用sshd的版本来支持,以允许使用特定的密码连接到系统,甚至是一些二进制文件的修改版本,它以root用户身份运行,只需监听触发器数据包的原始套接字即可。为此,我们将以Redhat和Debian为例。寻找不属于的二进制文件find /proc/*/exe -exec readlink {} + | xargs rp...
阿里云服务器内存占用很大,怀疑被恶意程序占用,怎么检查
03-27
以下是一些可能用于检查阿里云服务器内存占用的方法: 1. 使用系统监视器,例如top、htop或glances等,查看系统中正在运行的进程和其内存占用情况。 2. 使用命令“ps aux”查看系统中正在运行的进程,按照内存占用量从大到小排序。 3. 使用命令“free -m”查看系统当前内存使用情况,包括已用内存、空闲内存和缓存等。 4. 使用命令“vmstat”查看系统当前内存使用情况和虚拟内存情况,包括内存交换和磁盘I/O等。 5. 使用命令“lsof -p <PID>”查看某个进程所打开的文件和端口等信息,可能有助于发现恶意程序。 6. 使用杀毒软件或安全扫描工具,例如ClamAV、chkrootkit或rkhunter等,检查系统中是否存在病毒、木马或其他恶意程序。 7. 审查系统日志,例如/var/log/messages、/var/log/syslog或/var/log/auth.log等,查找异常事件或错误信息。 请注意,以上方法仅供参考,具体操作方式可能因系统环境和需求而异。建议在进行任何操作前备份重要数据,并在必要时请咨询专业人士。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值