服务器有无中木马前期诊断 注意:wget最好是从服务器上卸载掉,因为多数情况是wget下载木马到服务器的...

最新推荐文章于 2023-03-10 09:44:12 发布
最新推荐文章于 2023-03-10 09:44:12 发布
阅读量464 收藏
点赞数 
# rpm -qf /usr/bin/wget 
wget-1.12-5.el6_6.1.x86_64
rpm -e --nodeps wget

 

有无下列文件:

 cat /etc/rc.d/init.d/selinux 
#!/bin/bash
/usr/bin/bsd-port/getty
# cat /etc/rc.d/init.d/DbSecuritySpt 
#!/bin/bash
/data1/apps/merchant-wap-tomcat/6sz
]# ls /usr/bin/bsd-port/
conf.n  getty  getty.lock
# ls /usr/bin/dpkgd/
lsof  netstat  ps  ss
# ll -h /usr/bin/dpkgd/
total 436K
-rwxr-xr-x 1 root root 143K Mar 29 14:15 lsof
-rwxr-xr-x 1 root root 126K Mar 29 14:15 netstat
-rwxr-xr-x 1 root root  88K Mar 29 14:15 ps
-rwxr-xr-x 1 root root  74K Mar 29 14:15 ss

查看大小是否正常:

[root@Appsrv160 bsd-port]# du -sh /bin/netstat #这个已经修复
124K    /bin/netstat
[root@Appsrv160 bsd-port]# du -sh /bin/ps #这个已经修复
84K    /bin/ps
[root@Appsrv160 bsd-port]# du -sh /usr/sbin/lsof 
1.2M    /usr/sbin/lsof
[root@Appsrv160 bsd-port]# du -sh /usr/sbin/ss
1.2M    /usr/sbin/ss

如果大小为1.2M,或者大小超过200k的都可以判定为异常文件,如果上面文件有异常,立即删除以下文件,如果删除以后

立限恢复,先列改权限chmod 000 file_name,然后醒看文件的隐藏权限,lsattr file_name 去掉i,然后再删除。

首先我是先把这些命令修复:

修复后发现有以下问题:

# du -sh /usr/sbin/*|grep M
2.5M    /usr/sbin/aliyun-service
1.9M    /usr/sbin/cache_check
2.2M    /usr/sbin/cache_dump
2.2M    /usr/sbin/cache_repair
2.2M    /usr/sbin/cache_restore
1.3M    /usr/sbin/prelink
2.2M    /usr/sbin/thin_dump
2.2M    /usr/sbin/thin_repair
2.2M    /usr/sbin/thin_restore

当我查看本的自己的机器的时候也发现如下:

[root@localhost nb]# du -sh /usr/sbin/*|grep M
1.3M    /usr/sbin/eapol_test
1.1M    /usr/sbin/grub2-bios-setup
1.3M    /usr/sbin/grub2-install
1.1M    /usr/sbin/grub2-macbless
1.1M    /usr/sbin/grub2-probe
1.1M    /usr/sbin/grub2-sparc64-setup
1.7M    /usr/sbin/lvm
1.2M    /usr/sbin/ModemManager
2.6M    /usr/sbin/NetworkManager
1.2M    /usr/sbin/pdata_tools
1.4M    /usr/sbin/wpa_supplicant

所以不确定,现不去查这个文件!!!!

删除以下文件和目录:

# rm -rf /usr/bin/dpkgd/
lsof     netstat  ps       ss 
rm -rf /usr/bin/bsd-port/
conf.n      getty       getty.lock
# rm -f /usr/bin/.sshd
# cat /tmp/gates.lod 
6385
rm -f /tmp/gates.lod
# rm -f /tmp/moni.lod 
# cat /etc/rc.d/init.d/DbSecuritySpt 
#!/bin/bash
/data1/apps/merchant-wap-tomcat/6sz
# rm -f /etc/rc.d/init.d/DbSecuritySpt

参考:https://wenku.baidu.com/view/f94ba2c232d4b14e852458fb770bf78a65293a82.html

 

Vincen??
关注
被动抓病毒的日子(1)【入侵大佬:198.46.202.146】 一种针对Linux服务器疑似挖矿病毒流入
谦怀
03-09 2374
拥有云服务器(尤其是阿里云服务器)的朋友们要注意了!又一种针对Linux服务器疑似挖矿病毒流入,赶紧检查一下吧! 2021年3月8号,发现疑似挖矿病毒的流氓程序入侵,对于平常疏于安全防范的公司敲响了一记警钟。现在就详细分析下病毒的运作逻辑,至于它是干嘛的,有兴趣的小伙伴可以去挖掘一下,也许有比较有趣的收获。 目录 一、概述 二、脚本分析 1:声明和重写内核模块 2:杀死对应服务 3:卸载云盾服务器安全(安骑士)服务 4:生成默认环境变量 5:生成定时任务 6:登录方法声明 7:lib.
2024年运维最新记一次Linux服务器上查杀木马经历(2),2024年最新记一次字节跳动Linux运维社招面试
最新发布
2301_79054215的博客
05-05 621
手工杀进程或手工删除/home/WDPM/Development/WebServer/apache-tomcat-7.0.61/cmys文件,发现不过一会儿,又会出现相同的进程和文件。PidFile /opt/clamav/updata/clamd.pid 删掉前面的注释路径改为/opt/clamav/updata/clamd.pid。LogFile /opt/clamav/logs/clamd.log 删掉前面的注释目录改为/opt/clamav/logs/clamd.log。
wget-1.20.3-win32 windows版本
09-10
wget 1.20.3win32 windows版本 某些防病毒工具将wget-1.20.3-win32.zip识别为 潜在危险。触发警告的文件是wget.exe.debug,其包含wget.exe的调试符号,甚至无法执行。如果您的AV给您带来麻烦,并且您不需要说明文件或调试符号,则可以直接下载wget.exe,或切换到损坏程度较小的安全产品。
记一次服务器被挖矿木马攻击的经历
热门推荐
点滴汇聚,智在积累。——Danny
01-07 2万+
背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~ 清除恶意程序 首先比较直观的是imWBR1这个进程,查找它的位置在/tmp/目录下,如下图: (图2) 先删除/tmp/imWBR1,再kill掉imW
weget安装卸载
weixin_51115663的博客
06-04 3361
使用weget下载报错
教你如何清除WEB服务器木马
[智能天空教程区 Smart-sky]
05-22 1446
很多朋友都碰到过这样的现象:打开一个网站,结果页面还没显示,杀毒软件就开始报警,提示检测到木马病毒。有经验的朋友会知道这是网页病毒,但是自己打开的明明是正规网站,没有哪家正规网站会将病毒放在自己的网页上吧?那么是什么导致了这种现象的发生呢?其最有可能的一个原因就是:这个网站被挂马了。 挂马这个词目前我们似乎经常能听到,那么什么是挂马呢?挂马就是黑客入侵了一些网站后,将自己编写的
apt-get 安装卸载,wget下载,hg clone克隆
hebbely的博客
12-28 5895
apt-get install xxxx 安装 apt-get remove xxxx 卸载但不删除配置 apt-get purge xxxx 卸载并且删除相关配置 从网络下载一个文件并保存在当前目录 wget http://cn.wordpress.org/wordpress-3.1-zh_CN.zip hg clone :克隆 $ hg clone http://www.selenic.com/repo/hello my-hello 成功运行后,当前目录下发现一个目录叫 my-hello
一次Linux服务器被hack的过程分析
01-31
hacker一般将工具解压到目录名以”.”开头的目录,达到隐藏的效果,以下是此次问题hacker在服务器上留下的“礼物”:linux:/tmp/.ssh#ll总计340下面我们对以上各工具的作用逐一进行分析。远程会话管理工具screen...
Wireshark Wget bot木马分析
煮酒闲谈
09-27 1452
爬虫和蜘蛛 黑盒测试,它涉及到外部攻击者用于获取足够信息的所有步骤,以便入侵应用或服务器的特定功能。 作为每个 Web 渗透测试侦查阶段的一部分,我们需要浏览器每个包含在网页的链接,并跟踪它展示的每个文件。 有一些工具能够帮助我们自动和以及加速完成这个任务,它们叫做 Web 爬虫或蜘蛛。 这些工具通过跟随所有到外部文件的链接和引用,有的时候会填充表单并将它们发送到服务器,保存所有请求和响应来浏览
服务器部署msf生成windows木马远程攻击个人主机
CC__Faker的博客
07-01 1968
目录0x01 环境部署0x01 纯净系统安装0x02 安装msf0x02 生成木马0x03 利用msf攻击 0x01 环境部署 我云服务器采用的是阿里云的服务器,自己重装了个纯净系统,建议使用Ubuntu 16的。然后再在服务器上安装msf。如果是使用阿里云服务器记得在控制台将使用的端口开放,否则可能会监听不到会话。 0x01 纯净系统安装 1)安装软件 #Debian/Ubuntu系统: apt-get update apt-get install -y xz-utils openssl gawk fil
wget命令用法
04-18
linux下的wget 命令的用法 wget支持HTTP HTTPS和FTP协议 可以使用HTTP代理 所谓的自动下载是指 wget可以在用户退出系统的之后在后台执行 这意味这你可以登录系统 启动一个wget下载任务 然后退出系统 wget将在后台执行直到任务完成 相对于其它大部分浏览器在下载大量数据时需要用户一直的参与 这省去了极大的麻烦 wget 可以跟踪HTML页面上的链接依次下载来创建远程服务器的本地版本 完全重建原始站点的目录结构 这又常被称作”递归下载” 在递归下载的时候 wget 遵循Robot Exclusion标准 robots txt wget可以在下载的同时 将链接转换成指向本地文件 以方便离线浏览 wget 非常稳定 它在带宽很窄的情况下和不稳定网络有很强的适应性 如果是由于网络的原因下载失败 wget命令会不断的尝试 直到整个文件下载完毕 如果是服务器打断下载过程 它会再次联到服务器上从停止的地方继续下载 这对从那些限定了链接时间的服务器下载大文件非常有用 ">linux下的wget 命令的用法 wget支持HTTP HTTPS和FTP协议 可以使用HTTP代理 所谓的自动下载是指 wget可以在用户退出系统的之后在后台执行 这意味这你可以登录系统 启动一个wget下载任务 然后退出系统 wget将在后台执行直到 [更多]
wget 安装 和卸载 以及安装后 wget命令: command not found
DynastyTing的专栏
11-15 1万+
yum remove wget卸载 yum install wget 安装 wget命令: command not found的两种解决方法 安装方式两种: 1、rpm 安装 下载wget的RPM包:http://mirrors.163.com/centos/6.8/os/x86_64/Packages/wget-1.12-8.el6.x86_64.rpm 执行 rpm -ivh w...
一个木马下载脚本
余璜的技术博客
04-29 3034
帮一个朋友在阿里云Linux服务器上装软件,发现出奇的卡,终端上敲几个字就卡几十秒。ps -ef一看,发现两个可疑物:/etc/tows /etc/towgets.sh
linux给进程加速,linux启动加速
weixin_31207903的博客
04-29 753
linux启动加速主要有三个工具:prelink readaheab preload.prelink就是预连接程序的动态连接库,达到提升软件启动速度,甚至减少程序运行时所需的内存。安装:apt-get install prelink运行sudo /usr/sbin/prelink -avmR #需要几分钟时间以后启动系统软件的启动速度就加快了当更新了某些软件后,运行sudo /usr/sbin/p...
linux 软件安装与卸载
Notebook
03-10 2078
只删除一个连接并不影响索引节点本身和其它的连接,只有当最后一个连接被删除后,文件的数据块及目录的连接才会被释放。Linux文件系统的链接分为硬链接(hard link)和软链接(symbolic link),硬链接的意思是一个档案可以有多个名称,而软链接的方式则是产生一个特殊的档案,该档案的内容是指向另一个档案的位置。在Ubuntu下,我们维护一个源列表,源列表里面都是一些网址信息,这每一条网址就是一个源,这个地址指向的数据标识着这台源服务器上有哪些软件可以安装使用。就需要手动更新一下。
aide编译c语言,aide检测是报错
weixin_35042833的博客
05-19 615
1.执行aide -C 命令出现以下错误:/usr/sbin/prelink: /usr/sbin/tcpdump: at least one of file's dependencies has changed since prelinkingError on exit of prelink child process/usr/sbin/prelink: /usr/sbin/lpasswd: a...
使用 Prelink 加速程序启动
小猪爱拱地
03-04 1349
使用 Prelink 加速程序启动 一、What is Prelink? 1.1 Prelink 简介 Prelink 是 Red Hat 开发者 Jakub Jelinek 所设计的工具。正如其名字所示,Prelink 利用事先链接代替运行时链接的方法来加速共享库的加载。它不仅可以加快起动速度,还可以减少部分内存开销,是各种 Linux 架构上用于减少程序加载时间、缩短系统启动时间和加快应...
linux进程Prelink
王以山的专栏
10-12 2974
什么是 Prelink ? 它能为我做什么 ?        许多的应用程式使用共用函式库. 在这些程式被执行的时候, 共用函式库会被读进记忆体, 并且跟程式所参用到的符号(symbol)连结起来. 对大多的小程式而言, 通常这样的动态连结非常快. 但是对一些依存於大量函式库的 C++ 程式而言, 动态连结却可能花上不少的时间.       在大多数的系统上, 函式库并不会常常被更动, 每次程
修复kalibr安装问题:CMakeLists.txtwget下载的替代方案
在kalibr的安装过程,遇到 wget 下载suitesparse库失败的问题是很常见的,特别是在依赖于CMakeLists.txt配置文件来管理外部项目的场景下。CMakeLists.txt是CMake构建系统的核心文件,它定义了如何构建、配置和安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值