putty和WinSCP后门检查及清理方式

最新推荐文章于 2024-08-14 22:57:51 发布
最新推荐文章于 2024-08-14 22:57:51 发布
阅读量166 收藏
点赞数
文章标签: 操作系统
原文链接:https://yq.aliyun.com/articles/79924
版权

检查及清理方式

  • 检查 /var/log 是否被删除 # /usr/bin/stat /var/log
    如果被删除了,说明中招了
  • 查看 /var/log 文件夹内容 # ls -al /var/log
    如果文件很少,说明中招了
  • 监控名称为 fsyslog,osysllog 的进程 # /usr/bin/watch -n 1 /bin/ps -AFZ f \| /bin/grep syslog
    如果有名称为fsyslog或osyslog的进程,说明中招了,注意不要和正常的系统日志进程混淆
  • 检查 /etc/init.d/sshd 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sshd
    如果你分不清,请回本贴
  • 检查 /etc/init.d/sendmail 的文件头是否被篡改过 # /usr/bin/head /etc/init.d/sendmail
    如果你分不清,请回本贴
  • 检查是否有对外链接的 82 端口 # /bin/netstat -anp | /bin/grep ':82'
    如果有,而你又没设置过,说明已经中招了
  • 检查是否有链接到 98.126.55.226 的链接 # /bin/netstat -anp | /bin/grep '98\.' --color
    如果有,说明已经中招了
  • 检查 /etc 文件夹下的隐藏文件 .fsyslog .osyslog,检查 /lib 文件夹下的隐藏文件 .fsyslog .osyslog
    /usr/bin/find /etc -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
    /usr/bin/find /lib -name '.*' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
    /usr/bin/find /etc -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
    /usr/bin/find /lib -name 'syslog' -printf '%a %c %t %M %g:%u %p\n' | /bin/grep 2012 --color
    如果有近期修改过的名称包含fsyslog或osyslog的文件,说明已经中招了

恢复系统日志

  • 查看系统日志文件夹 # ls -al /var/log
  • 创建系统日志文件夹 # /bin/mkdir /var/log
    如果被删除的话需要创建
  • 查看系统日志服务 # /usr/bin/find /etc/init.d/ -name '*log*'
    需要区分出你的服务器所使用的日志服务
  • 关闭系统日志服务 # /sbin/service syslog stop
    你的服务器的日志服务的名称可能是另外一个名字
  • 启动系统日志服务 # /sbin/service syslog start
    你的服务器的日志服务的名称可能是另外一个名字
  • 创建错误登录日志文件 # /bin/touch /var/log/btmp
  • 设置错误登录日志文件用户组 # /bin/chown root:utmp /var/log/btmp
  • 设置错误登录日志文件权限 # /bin/chmod 600 /var/log/btmp
  • 创建登录日志文件 # /bin/touch /var/log/wtmp
  • 设置登录日志文件用户组 # /bin/chown root:utmp /var/log/wtmp
  • 设置登录日志文件权限 # /bin/chmod 664 /var/log/wtmp

恢复SELinux(安全增强Linux)设置

  • 查看 SELinux 状态 # /usr/sbin/sestatus -v
  • 检查 /var/log 文件夹的安全上下文 # /sbin/restorecon -rn -vv /var/log
  • 恢复 /var/log 文件夹的安全上下文 # /sbin/restorecon -r -vv /var/log
  • 检查 /etc 文件夹的安全上下文 # /sbin/restorecon -rn -vv /etc 2>/dev/null
  • 恢复 /etc 文件夹的安全上下文 # /sbin/restorecon -r -vv /etc 2>/dev/null
  • 检查 /lib 文件夹的安全上下文 # /sbin/restorecon -rn -vv /lib 2>/dev/null
原文发布时间为:2012-02-07

本文来自云栖社区合作伙伴“Linux中国”
weixin_34183910
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Putty+Winscp
01-02
最近公司查盗版不允许用CRT和xshell等收费软件,心思一想自己写了个快捷的putty登陆。 能够记录密码,支持证书登陆,支持指定putty终端标题,支持winscp文件传输,无需安装任何插件。 用法:将安装包下载,解压至...
puttywinscp工具
10-10
【描述】:PuttyWinSCP是两款在Windows操作系统中广泛使用的工具,分别用于连接Linux服务器和管理文件传输。Putty是一款轻量级的SSH(Secure Shell)客户端,允许用户通过命令行界面远程登录Linux系统,进行文本...
所有从非官方网站下载的puttyWinSCP都有后门(附清理方式
baiguomeng
01-31 222
首发地址: http://bbs.hpx-party.org/thread-9143-1-1.html 所有从非官方网站下载的puttyWinSCP都有后门,大家在全公司范围内撤查一遍吧。已经经过金山网络反病毒工程师李铁军确认,后面附图。 puttywinscp是免费开源软件,怎么可能在baidu上打推广广告,明显带后门啊,如果你不知道puttywinscp的功能,那么我告诉你,这是最常...
服务器文件怎么清理,文件传输服务器怎么清理内存
weixin_39540426的博客
08-09 309
文件传输服务器怎么清理内存 内容精选换一换本节操作指导您完成Windows操作系统云服务器磁盘空间清理。弹性云服务器匀出一部分磁盘空间来充当内存使用,当内存耗尽时,云服务器可以使用虚拟内存来缓解内存的紧张。但当内存使用率已经非常高时,频繁的内存与虚拟内存的切换会导致产生大量额外的IO操作,导致IO性能下降。因此可以关闭虚拟内存,来清理Windows操作系统的磁盘空间。以下操作以W华为云帮助中心,为...
中文版putty后门事件的曝光过程及我们所受到的报复
weixin_34258078的博客
02-02 821
我们(LuManager官方)于元月31号晚上向论坛一万多LuManager的用户发送邮件通知,从而导致putty后门事件的曝光,在此细说后门的发现过程,并对360和百度等大公司的无所作为表示谴责! ######## Putty后门事件的曝光过程 * 2011年11月份,我们在用户的机器上发现/var/log目录无故被删除,由于LuManager的网站日志访问文件是在...
【经验总结】中文版putty后门事件分析【转】
【 无线技术运营 】 (本专栏是http://wireless.qzone.qq.com的镜像)
02-07 1652
中文版putty后门事件分析 by lszm 近几日,中文版putty等SSH远程管理工具被曝出存在后门,该后门会自动 窃取管理员所输入的SSH用户名与口令,并将其发送至指定服务器上。知道创宇安全研究小组在第一时间获取该消息后,对此次事件进行了跟踪和分析。根据分 析,此次事件涉及到来自putty.org.cn、putty.ws、winscp.cc和sshsecu
如何在windows上清除putty的密钥缓存
weixin_33725239的博客
07-27 3004
SSH – Putty Clear CachePosted on27 April 2012byAndre Jansen—No Comments ↓Clear Putty’s CacheFor all those of you who have been trying to clear Putty’s cache of host fingerprints (Windo...
putty_WinSCP
11-14
PuTTYWinSCP是两款在IT行业中广泛应用的开源软件,尤其在Windows用户中具有极高的人气。它们都是为了方便用户进行远程服务器管理而设计的,但各自的功能侧重点有所不同。 PuTTY是一款免费的SSH(Secure Shell)...
putty-winscp.rar
05-22
PuTTYWinSCP是两款广受欢迎的Windows平台上的开源软件,它们分别提供了命令行终端模拟器和文件传输工具,帮助用户方便地与Linux系统进行交互。本文将详细介绍如何利用这两款工具高效、安全地管理Linux系统。 一、...
WinSCPputty
08-31
**WinSCPPuTTY简介** WinSCPPuTTY是两款非常流行的开源软件,主要用于与Linux系统进行远程连接和管理。WinSCP是一款支持多种协议的安全文件传输客户端,而PuTTY则是一个功能强大的终端模拟器,主要支持SSH...
远程链接工具putty后门版本
04-25
小而便捷的远程链接工具,不添加任何后门,放心下载。
超好用的putty,xshell听说有后门
10-29
超好用的putty,xshell听说有后门,所以功能简陋但是绝对安全的putty还是挺好用的
putty使用进阶
Gick
07-20 5556
0.英文版使用手册 https://the.earth.li/~sgtatham/putty/0.63/htmldoc/ 1.Putty配置log打印信息 从主程序putty开始吧,不到1K,甚是喜爱。putty是我用过的最好的windows上的ssh客户端了。secureCRT我也用过,总觉得没有putty来的顺手。另外secureCRT价格不菲。(我严重不提倡做电脑的人用盗版) 这里讲...
注意!部分中文版putty被植入后门
DraGonPlan 的“砖篮”
01-31 1008
春节前购买了一台万网的翔云主机,装好系统不久后发现系统进程中有一个名为.osyslog的进程,占cpu很大,起初以为是万网的集群日志处理造成的。kill掉后正常。过几天观察又反复出现类似情况进程名为 .osyslog(.ksyslog 、.fsyslog)。百度了一下,貌似很多vps都出现类似情况,有人怀疑是wdcp的问题。 http://www.west263.com/faq/list.asp
Oracle DBA手记4:数据安全警示录
博文视点(北京)官方博客
07-13 6983
Oracle DBA手记4:数据安全警示录 盖国强 著 ISBN978-7-121-17206-9 2012年7月出版 定价:65.00元 16开 404页 宣传语 灾难与拯救 全真全程商业案例! 内 容 简 介 这是一本写给大家看的数据安全之书,不仅仅是给技术人员,更重要的是给企业数据管理者,如果不看这些案例,你也许永远不会理解数据库为何会遭遇到灭顶之灾,你也许永远无法理解为
linux系统安全排查方法
lihuifen2011的博客
08-29 620
最近对公司部分服务器进行了一下安全排查,因此利用此机会整理一下linux系统安全检查策略。 1ssh后门 检察语句: grep -E "user,pas|user:pas" /usr/bin/* /usr/local/sbin/* /usr/local/bin/* /bin/* /usr/sbin/* /root/bin/* -al 检察方法:如发现以下三个的其中一个请截图并记录,基...
WinSCP+putty整合基础使用!!!!!!!!!!!!!!!!!!!
weixin_42997826的博客
11-29 2282
基础的一。。。。。 下载WinSCP+puttyWinSCP中文版有些网站下载会有病毒, 盗取用户名密码,谨慎!!!) 打开下载好的文件夹找到这个.exe文件,复制 粘贴到下载WinSCPPuTTY文件夹下 打开WinSCP登陆 登陆之后点击这里 如何插入一段漂亮的代码片 好了大功告成,ctrl + p直接调出来… ...
进程间通信 ---共享内存
最新发布
BUG制造机的博客
08-14 1130
在这篇文章中向大家介绍了共享内存的原理以及常用的指令函数,希望大家有所收获!😁。
putty winscp版下载
08-24
PuTTYWinSCP都是常用的远程管理工具,可以与服务器建立安全连接并进行文件传输。 要下载PuTTYWinSCP,可以按照以下步骤进行操作: 1. 打开浏览器,进入PuTTY官方网站。在搜索栏中输入"PuTTY下载",然后点击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值